JackHammer01,
Я думаю вам нужно искать сначала на запросе ntdll.dll!Rtl!DecodePointer+0x9b это связанно с безопасностью, вызов API функций (API функции EncodePointer, DecodePointer, EncodeSystemPointer, DecodeSystemPointer).
Цитата:
Windows Vista ISV Security
Защита от "Pointer Subterfuge" атак (API функции EncodePointer, DecodePointer, EncodeSystemPointer, DecodeSystemPointer)
Protecting against Pointer Subterfuge (Kinda!)
Protecting against Pointer Subterfuge (Redux)
|
Попробуйте понаблюдать за работой других служб, в это время, сеть и т.д. И можно так же использувать ProcMonitor от этого же автора.