Помогите с разбором алгоритма.

Тема в разделе "WASM.ASSEMBLER", создана пользователем spa, 20 июл 2008.

  1. spa

    spa Active Member

    Публикаций:
    0
    Регистрация:
    9 мар 2005
    Сообщения:
    2.240
    http://securegamers.com/shadowfrench/W3XPassGrabber12201.exe


    Есь программа пассворд граббер для WarCraft3 (моралисты могу тоже помочь т.к. собсно мне нужно получать только имя а в пасворде нет необходимости) необходимо узнать как она собственно это делает, но появилась проблеммка та вб ( +ко всему там еще и натив код т.е. декомпиль не прокатит, ида зубы ломает об эту чушь, короче все плохо )
    вот сама ф/я корая собсно чтото делает )
    Первая что мне хотелось бы узнать что значит
    loc_004053B2: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    loc_004053B7: call edi
    что значит call edi после каждой api как я понял это проверки вб на то что все ок работает )

    значит на всякий случай приведу листинг который надо иследовать
    http://nopaste.com/p/aaVioGXVE
    http://code.hash.su/136
    http://paste.org.ru/?sb2xik
    Код (Text):
    1. Private Sub t2_Timer() '405260
    2.   loc_00405260: push ebp
    3.   loc_00405261: mov ebp, esp
    4.   loc_00405263: sub esp, 0000000Ch
    5.   loc_00405266: push 00401196h ; MSVBVM60.DLL.__vbaExceptHandler
    6.   loc_0040526B: mov eax, fs:[00h]
    7.   loc_00405271: push eax
    8.   loc_00405272: mov fs:[00000000h], esp
    9.   loc_00405279: sub esp, 00000090h
    10.   loc_0040527F: push ebx
    11.   loc_00405280: push esi
    12.   loc_00405281: push edi
    13.   loc_00405282: mov var_C, esp
    14.   loc_00405285: mov var_8, 004010F0h
    15.   loc_0040528C: mov eax, arg_8
    16.   loc_0040528F: mov ecx, eax
    17.   loc_00405291: and ecx, 00000001h
    18.   loc_00405294: mov var_4, ecx
    19.   loc_00405297: and al, FEh
    20.   loc_00405299: push eax
    21.   loc_0040529A: mov arg_8, eax
    22.   loc_0040529D: mov edx, [eax]
    23.   loc_0040529F: call [edx+04h]
    24.   loc_004052A2: lea eax, var_48
    25.   loc_004052A5: xor ebx, ebx
    26.   loc_004052A7: push 00403684h ; "Warcraft III"
    27.   loc_004052AC: push eax
    28.   loc_004052AD: mov byte ptr var_1C, 00h
    29.   loc_004052B1: mov var_2C, ebx
    30.   loc_004052B4: mov var_30, ebx
    31.   loc_004052B7: mov var_38, ebx
    32.   loc_004052BA: mov var_3C, ebx
    33.   loc_004052BD: mov var_48, ebx
    34.   loc_004052C0: mov var_4C, ebx
    35.   loc_004052C3: mov var_50, ebx
    36.   loc_004052C6: mov var_54, ebx
    37.   loc_004052C9: mov var_64, ebx
    38.   loc_004052CC: mov var_74, ebx
    39.   loc_004052CF: mov var_84, ebx
    40.   loc_004052D5: mov var_88, ebx
    41.   loc_004052DB: call MSVBVM60.DLL.__vbaStrToAnsi
    42.   loc_004052E1: push eax
    43.   loc_004052E2: push ebx
    44.   loc_004052E3: FindWindow(%x1, %x2)
    45.   loc_004052E8: mov edi, MSVBVM60.DLL.__vbaSetSystemError
    46.   loc_004052EE: mov var_88, eax
    47.   loc_004052F4: call edi
    48.   loc_004052F6: mov esi, var_88
    49.   loc_004052FC: lea ecx, var_48
    50.   loc_004052FF: call MSVBVM60.DLL.__vbaFreeStr
    51.   loc_00405305: cmp esi, ebx
    52.   loc_00405307: jz 00406500h
    53.   loc_0040530D: lea ecx, var_38
    54.   loc_00405310: push ecx
    55.   loc_00405311: push esi
    56.   loc_00405312: GetWindowThreadProcessId(%x1, %x2)
    57.   loc_00405317: call edi
    58.   loc_00405319: mov edx, var_38
    59.   loc_0040531C: push edx
    60.   loc_0040531D: push ebx
    61.   loc_0040531E: push 001F0FFFh
    62.   loc_00405323: OpenProcess(%x1, %x2, %x3)
    63.   loc_00405328: mov var_88, eax
    64.   loc_0040532E: call edi
    65.   loc_00405330: mov esi, var_88
    66.   loc_00405336: cmp esi, ebx
    67.   loc_00405338: jz 00406500h
    68.   loc_0040533E: mov ebx, 00100075h
    69.   loc_00405343: lea eax, var_88
    70.   loc_00405349: add ebx, 00010000h
    71.   loc_0040534F: push eax
    72.   loc_00405350: lea ecx, var_30
    73.   loc_00405353: push 00000004h
    74.   loc_00405355: push ecx
    75.   loc_00405356: jo 00406570h
    76.   loc_0040535C: push ebx
    77.   loc_0040535D: push esi
    78.   loc_0040535E: mov var_88, 00000000h
    79.   loc_00405368: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    80.   loc_0040536D: call edi
    81.   loc_0040536F: cmp var_30, 68437465h
    82.   loc_00405376: jz 405380h
    83.   loc_00405378: cmp ebx, 6FFF0075h
    84.   loc_0040537E: jnz 405343h
    85.   loc_00405380: cmp ebx, 6FFF0075h
    86.   loc_00405386: jnz 4053DBh
    87.   loc_00405388: mov ebx, 001000A5h
    88.   loc_0040538D: lea edx, var_88
    89.   loc_00405393: add ebx, 00010000h
    90.   loc_00405399: push edx
    91.   loc_0040539A: lea eax, var_30
    92.   loc_0040539D: push 00000004h
    93.   loc_0040539F: push eax
    94.   loc_004053A0: jo 00406570h
    95.   loc_004053A6: push ebx
    96.   loc_004053A7: push esi
    97.   loc_004053A8: mov var_88, 00000000h
    98.   loc_004053B2: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    99.   loc_004053B7: call edi
    100.   loc_004053B9: cmp var_30, 68437465h
    101.   loc_004053C0: jz 4053CAh
    102.   loc_004053C2: cmp ebx, 6FFF00A5h
    103.   loc_004053C8: jnz 40538Dh
    104.   loc_004053CA: cmp ebx, 6FFF00A5h
    105.   loc_004053D0: jnz 4053DBh
    106.   loc_004053D2: lea ecx, var_2C
    107.   loc_004053D5: push ecx
    108.   loc_004053D6: jmp 004064F0h
    109.   loc_004053DB: lea edx, var_88
    110.   loc_004053E1: add ebx, 000003FFh
    111.   loc_004053E7: push edx
    112.   loc_004053E8: lea eax, var_1C
    113.   loc_004053EB: push 00000001h
    114.   loc_004053ED: push eax
    115.   loc_004053EE: jo 00406570h
    116.   loc_004053F4: push ebx
    117.   loc_004053F5: push esi
    118.   loc_004053F6: mov var_18, ebx
    119.   loc_004053F9: mov var_88, 00000000h
    120.   loc_00405403: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    121.   loc_00405408: call edi
    122.   loc_0040540A: mov ecx, var_1C
    123.   loc_0040540D: mov ebx, [0040108Ch] ; arg_1 = arg_3 & Chr(arg_2)
    124.   loc_00405413: and ecx, 000000FFh
    125.   loc_00405419: lea edx, var_64
    126.   loc_0040541C: push ecx
    127.   loc_0040541D: push edx
    128.   loc_0040541E: call ebx
    129.   loc_00405420: lea eax, var_64
    130.   loc_00405423: push eax
    131.   loc_00405424: call MSVBVM60.DLL.__vbaStrVarMove
    132.   loc_0040542A: mov edx, eax
    133.   loc_0040542C: lea ecx, var_3C
    134.   loc_0040542F: call MSVBVM60.DLL.__vbaStrMove
    135.   loc_00405435: lea ecx, var_64
    136.   loc_00405438: call MSVBVM60.DLL.__vbaFreeVar
    137.   loc_0040543E: mov eax, var_18
    138.   loc_00405441: lea ecx, var_88
    139.   loc_00405447: push ecx
    140.   loc_00405448: lea edx, var_1C
    141.   loc_0040544B: add eax, 00000001h
    142.   loc_0040544E: push 00000001h
    143.   loc_00405450: push edx
    144.   loc_00405451: mov var_88, 00000000h
    145.   loc_0040545B: jo 00406570h
    146.   loc_00405461: push eax
    147.   loc_00405462: push esi
    148.   loc_00405463: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    149.   loc_00405468: call edi
    150.   loc_0040546A: mov edx, var_1C
    151.   loc_0040546D: mov ecx, var_3C
    152.   loc_00405470: and edx, 000000FFh
    153.   loc_00405476: lea eax, var_64
    154.   loc_00405479: push edx
    155.   loc_0040547A: push eax
    156.   loc_0040547B: mov var_7C, ecx
    157.   loc_0040547E: mov var_84, 00000008h
    158.   loc_00405488: call ebx
    159.   loc_0040548A: lea ecx, var_84
    160.   loc_00405490: lea edx, var_64
    161.   loc_00405493: push ecx
    162.   loc_00405494: lea eax, var_74
    163.   loc_00405497: push edx
    164.   loc_00405498: push eax
    165.   loc_00405499: call MSVBVM60.DLL.__vbaVarAdd
    166.   loc_0040549F: push eax
    167.   loc_004054A0: call MSVBVM60.DLL.__vbaStrVarMove
    168.   loc_004054A6: mov edx, eax
    169.   loc_004054A8: lea ecx, var_3C
    170.   loc_004054AB: call MSVBVM60.DLL.__vbaStrMove
    171.   loc_004054B1: lea ecx, var_74
    172.   loc_004054B4: lea edx, var_64
    173.   loc_004054B7: push ecx
    174.   loc_004054B8: push edx
    175.   loc_004054B9: push 00000002h
    176.   loc_004054BB: call MSVBVM60.DLL.__vbaFreeVarList
    177.   loc_004054C1: mov edx, var_18
    178.   loc_004054C4: add esp, 0000000Ch
    179.   loc_004054C7: lea eax, var_88
    180.   loc_004054CD: lea ecx, var_1C
    181.   loc_004054D0: push eax
    182.   loc_004054D1: add edx, 00000002h
    183.   loc_004054D4: push 00000001h
    184.   loc_004054D6: push ecx
    185.   loc_004054D7: jo 00406570h
    186.   loc_004054DD: push edx
    187.   loc_004054DE: push esi
    188.   loc_004054DF: mov var_88, 00000000h
    189.   loc_004054E9: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    190.   loc_004054EE: call edi
    191.   loc_004054F0: mov ecx, var_1C
    192.   loc_004054F3: mov eax, var_3C
    193.   loc_004054F6: and ecx, 000000FFh
    194.   loc_004054FC: lea edx, var_64
    195.   loc_004054FF: push ecx
    196.   loc_00405500: push edx
    197.   loc_00405501: mov var_7C, eax
    198.   loc_00405504: mov var_84, 00000008h
    199.   loc_0040550E: call ebx
    200.   loc_00405510: lea eax, var_84
    201.   loc_00405516: lea ecx, var_64
    202.   loc_00405519: push eax
    203.   loc_0040551A: lea edx, var_74
    204.   loc_0040551D: push ecx
    205.   loc_0040551E: push edx
    206.   loc_0040551F: call MSVBVM60.DLL.__vbaVarAdd
    207.   loc_00405525: push eax
    208.   loc_00405526: call MSVBVM60.DLL.__vbaStrVarMove
    209.   loc_0040552C: mov edx, eax
    210.   loc_0040552E: lea ecx, var_3C
    211.   loc_00405531: call MSVBVM60.DLL.__vbaStrMove
    212.   loc_00405537: lea eax, var_74
    213.   loc_0040553A: lea ecx, var_64
    214.   loc_0040553D: push eax
    215.   loc_0040553E: push ecx
    216.   loc_0040553F: push 00000002h
    217.   loc_00405541: call MSVBVM60.DLL.__vbaFreeVarList
    218.   loc_00405547: mov ecx, var_18
    219.   loc_0040554A: add esp, 0000000Ch
    220.   loc_0040554D: lea edx, var_88
    221.   loc_00405553: lea eax, var_1C
    222.   loc_00405556: push edx
    223.   loc_00405557: add ecx, 00000003h
    224.   loc_0040555A: push 00000001h
    225.   loc_0040555C: push eax
    226.   loc_0040555D: jo 00406570h
    227.   loc_00405563: push ecx
    228.   loc_00405564: push esi
    229.   loc_00405565: mov var_88, 00000000h
    230.   loc_0040556F: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    231.   loc_00405574: call edi
    232.   loc_00405576: mov eax, var_1C
    233.   loc_00405579: mov edx, var_3C
    234.   loc_0040557C: and eax, 000000FFh
    235.   loc_00405581: lea ecx, var_64
    236.   loc_00405584: push eax
    237.   loc_00405585: push ecx
    238.   loc_00405586: mov var_7C, edx
    239.   loc_00405589: mov var_84, 00000008h
    240.   loc_00405593: call ebx
    241.   loc_00405595: lea edx, var_84
    242.   loc_0040559B: lea eax, var_64
    243.   loc_0040559E: push edx
    244.   loc_0040559F: lea ecx, var_74
    245.   loc_004055A2: push eax
    246.   loc_004055A3: push ecx
    247.   loc_004055A4: call MSVBVM60.DLL.__vbaVarAdd
    248.   loc_004055AA: push eax
    249.   loc_004055AB: call MSVBVM60.DLL.__vbaStrVarMove
    250.   loc_004055B1: mov edx, eax
    251.   loc_004055B3: lea ecx, var_3C
    252.   loc_004055B6: call MSVBVM60.DLL.__vbaStrMove
    253.   loc_004055BC: lea edx, var_74
    254.   loc_004055BF: lea eax, var_64
    255.   loc_004055C2: push edx
    256.   loc_004055C3: push eax
    257.   loc_004055C4: push 00000002h
    258.   loc_004055C6: call MSVBVM60.DLL.__vbaFreeVarList
    259.   loc_004055CC: mov eax, var_18
    260.   loc_004055CF: add esp, 0000000Ch
    261.   loc_004055D2: lea ecx, var_88
    262.   loc_004055D8: lea edx, var_1C
    263.   loc_004055DB: push ecx
    264.   loc_004055DC: add eax, 00000004h
    265.   loc_004055DF: push 00000001h
    266.   loc_004055E1: push edx
    267.   loc_004055E2: jo 00406570h
    268.   loc_004055E8: push eax
    269.   loc_004055E9: mov var_88, 00000000h
    270.   loc_004055F3: push esi
    271.   loc_004055F4: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    272.   loc_004055F9: call edi
    273.   loc_004055FB: mov edx, var_1C
    274.   loc_004055FE: mov ecx, var_3C
    275.   loc_00405601: and edx, 000000FFh
    276.   loc_00405607: lea eax, var_64
    277.   loc_0040560A: push edx
    278.   loc_0040560B: push eax
    279.   loc_0040560C: mov var_7C, ecx
    280.   loc_0040560F: mov var_84, 00000008h
    281.   loc_00405619: call ebx
    282.   loc_0040561B: lea ecx, var_84
    283.   loc_00405621: lea edx, var_64
    284.   loc_00405624: push ecx
    285.   loc_00405625: lea eax, var_74
    286.   loc_00405628: push edx
    287.   loc_00405629: push eax
    288.   loc_0040562A: call MSVBVM60.DLL.__vbaVarAdd
    289.   loc_00405630: push eax
    290.   loc_00405631: call MSVBVM60.DLL.__vbaStrVarMove
    291.   loc_00405637: mov edx, eax
    292.   loc_00405639: lea ecx, var_3C
    293.   loc_0040563C: call MSVBVM60.DLL.__vbaStrMove
    294.   loc_00405642: lea ecx, var_74
    295.   loc_00405645: lea edx, var_64
    296.   loc_00405648: push ecx
    297.   loc_00405649: push edx
    298.   loc_0040564A: push 00000002h
    299.   loc_0040564C: call MSVBVM60.DLL.__vbaFreeVarList
    300.   loc_00405652: mov edx, var_18
    301.   loc_00405655: add esp, 0000000Ch
    302.   loc_00405658: lea eax, var_88
    303.   loc_0040565E: lea ecx, var_1C
    304.   loc_00405661: push eax
    305.   loc_00405662: add edx, 00000005h
    306.   loc_00405665: push 00000001h
    307.   loc_00405667: push ecx
    308.   loc_00405668: jo 00406570h
    309.   loc_0040566E: push edx
    310.   loc_0040566F: push esi
    311.   loc_00405670: mov var_88, 00000000h
    312.   loc_0040567A: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    313.   loc_0040567F: call edi
    314.   loc_00405681: mov ecx, var_1C
    315.   loc_00405684: mov eax, var_3C
    316.   loc_00405687: and ecx, 000000FFh
    317.   loc_0040568D: lea edx, var_64
    318.   loc_00405690: push ecx
    319.   loc_00405691: push edx
    320.   loc_00405692: mov var_7C, eax
    321.   loc_00405695: mov var_84, 00000008h
    322.   loc_0040569F: call ebx
    323.   loc_004056A1: lea eax, var_84
    324.   loc_004056A7: lea ecx, var_64
    325.   loc_004056AA: push eax
    326.   loc_004056AB: lea edx, var_74
    327.   loc_004056AE: push ecx
    328.   loc_004056AF: push edx
    329.   loc_004056B0: call MSVBVM60.DLL.__vbaVarAdd
    330.   loc_004056B6: push eax
    331.   loc_004056B7: call MSVBVM60.DLL.__vbaStrVarMove
    332.   loc_004056BD: mov edx, eax
    333.   loc_004056BF: lea ecx, var_3C
    334.   loc_004056C2: call MSVBVM60.DLL.__vbaStrMove
    335.   loc_004056C8: lea eax, var_74
    336.   loc_004056CB: lea ecx, var_64
    337.   loc_004056CE: push eax
    338.   loc_004056CF: push ecx
    339.   loc_004056D0: push 00000002h
    340.   loc_004056D2: call MSVBVM60.DLL.__vbaFreeVarList
    341.   loc_004056D8: mov ecx, var_18
    342.   loc_004056DB: add esp, 0000000Ch
    343.   loc_004056DE: lea edx, var_88
    344.   loc_004056E4: lea eax, var_1C
    345.   loc_004056E7: push edx
    346.   loc_004056E8: add ecx, 00000006h
    347.   loc_004056EB: push 00000001h
    348.   loc_004056ED: push eax
    349.   loc_004056EE: jo 00406570h
    350.   loc_004056F4: mov var_88, 00000000h
    351.   loc_004056FE: push ecx
    352.   loc_004056FF: push esi
    353.   loc_00405700: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    354.   loc_00405705: call edi
    355.   loc_00405707: mov eax, var_1C
    356.   loc_0040570A: mov edx, var_3C
    357.   loc_0040570D: and eax, 000000FFh
    358.   loc_00405712: lea ecx, var_64
    359.   loc_00405715: push eax
    360.   loc_00405716: push ecx
    361.   loc_00405717: mov var_7C, edx
    362.   loc_0040571A: mov var_84, 00000008h
    363.   loc_00405724: call ebx
    364.   loc_00405726: lea edx, var_84
    365.   loc_0040572C: lea eax, var_64
    366.   loc_0040572F: push edx
    367.   loc_00405730: lea ecx, var_74
    368.   loc_00405733: push eax
    369.   loc_00405734: push ecx
    370.   loc_00405735: call MSVBVM60.DLL.__vbaVarAdd
    371.   loc_0040573B: push eax
    372.   loc_0040573C: call MSVBVM60.DLL.__vbaStrVarMove
    373.   loc_00405742: mov edx, eax
    374.   loc_00405744: lea ecx, var_3C
    375.   loc_00405747: call MSVBVM60.DLL.__vbaStrMove
    376.   loc_0040574D: lea edx, var_74
    377.   loc_00405750: lea eax, var_64
    378.   loc_00405753: push edx
    379.   loc_00405754: push eax
    380.   loc_00405755: push 00000002h
    381.   loc_00405757: call MSVBVM60.DLL.__vbaFreeVarList
    382.   loc_0040575D: mov eax, var_18
    383.   loc_00405760: add esp, 0000000Ch
    384.   loc_00405763: lea ecx, var_88
    385.   loc_00405769: lea edx, var_1C
    386.   loc_0040576C: push ecx
    387.   loc_0040576D: add eax, 00000007h
    388.   loc_00405770: push 00000001h
    389.   loc_00405772: push edx
    390.   loc_00405773: jo 00406570h
    391.   loc_00405779: push eax
    392.   loc_0040577A: push esi
    393.   loc_0040577B: mov var_88, 00000000h
    394.   loc_00405785: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    395.   loc_0040578A: call edi
    396.   loc_0040578C: mov edx, var_1C
    397.   loc_0040578F: mov ecx, var_3C
    398.   loc_00405792: and edx, 000000FFh
    399.   loc_00405798: lea eax, var_64
    400.   loc_0040579B: push edx
    401.   loc_0040579C: push eax
    402.   loc_0040579D: mov var_7C, ecx
    403.   loc_004057A0: mov var_84, 00000008h
    404.   loc_004057AA: call ebx
    405.   loc_004057AC: lea ecx, var_84
    406.   loc_004057B2: lea edx, var_64
    407.   loc_004057B5: push ecx
    408.   loc_004057B6: lea eax, var_74
    409.   loc_004057B9: push edx
    410.   loc_004057BA: push eax
    411.   loc_004057BB: call MSVBVM60.DLL.__vbaVarAdd
    412.   loc_004057C1: push eax
    413.   loc_004057C2: call MSVBVM60.DLL.__vbaStrVarMove
    414.   loc_004057C8: mov edx, eax
    415.   loc_004057CA: lea ecx, var_3C
    416.   loc_004057CD: call MSVBVM60.DLL.__vbaStrMove
    417.   loc_004057D3: lea ecx, var_74
    418.   loc_004057D6: lea edx, var_64
    419.   loc_004057D9: push ecx
    420.   loc_004057DA: push edx
    421.   loc_004057DB: push 00000002h
    422.   loc_004057DD: call MSVBVM60.DLL.__vbaFreeVarList
    423.   loc_004057E3: mov edx, var_18
    424.   loc_004057E6: add esp, 0000000Ch
    425.   loc_004057E9: lea eax, var_88
    426.   loc_004057EF: lea ecx, var_1C
    427.   loc_004057F2: push eax
    428.   loc_004057F3: add edx, 00000008h
    429.   loc_004057F6: push 00000001h
    430.   loc_004057F8: mov var_88, 00000000h
    431.   loc_00405802: push ecx
    432.   loc_00405803: jo 00406570h
    433.   loc_00405809: push edx
    434.   loc_0040580A: push esi
    435.   loc_0040580B: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    436.   loc_00405810: call edi
    437.   loc_00405812: mov ecx, var_1C
    438.   loc_00405815: mov eax, var_3C
    439.   loc_00405818: and ecx, 000000FFh
    440.   loc_0040581E: lea edx, var_64
    441.   loc_00405821: push ecx
    442.   loc_00405822: push edx
    443.   loc_00405823: mov var_7C, eax
    444.   loc_00405826: mov var_84, 00000008h
    445.   loc_00405830: call ebx
    446.   loc_00405832: lea eax, var_84
    447.   loc_00405838: lea ecx, var_64
    448.   loc_0040583B: push eax
    449.   loc_0040583C: lea edx, var_74
    450.   loc_0040583F: push ecx
    451.   loc_00405840: push edx
    452.   loc_00405841: call MSVBVM60.DLL.__vbaVarAdd
    453.   loc_00405847: push eax
    454.   loc_00405848: call MSVBVM60.DLL.__vbaStrVarMove
    455.   loc_0040584E: mov edx, eax
    456.   loc_00405850: lea ecx, var_3C
    457.   loc_00405853: call MSVBVM60.DLL.__vbaStrMove
    458.   loc_00405859: lea eax, var_74
    459.   loc_0040585C: lea ecx, var_64
    460.   loc_0040585F: push eax
    461.   loc_00405860: push ecx
    462.   loc_00405861: push 00000002h
    463.   loc_00405863: call MSVBVM60.DLL.__vbaFreeVarList
    464.   loc_00405869: mov ecx, var_18
    465.   loc_0040586C: add esp, 0000000Ch
    466.   loc_0040586F: lea edx, var_88
    467.   loc_00405875: lea eax, var_1C
    468.   loc_00405878: push edx
    469.   loc_00405879: add ecx, 00000009h
    470.   loc_0040587C: push 00000001h
    471.   loc_0040587E: push eax
    472.   loc_0040587F: jo 00406570h
    473.   loc_00405885: push ecx
    474.   loc_00405886: push esi
    475.   loc_00405887: mov var_88, 00000000h
    476.   loc_00405891: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    477.   loc_00405896: call edi
    478.   loc_00405898: mov eax, var_1C
    479.   loc_0040589B: mov edx, var_3C
    480.   loc_0040589E: and eax, 000000FFh
    481.   loc_004058A3: lea ecx, var_64
    482.   loc_004058A6: push eax
    483.   loc_004058A7: push ecx
    484.   loc_004058A8: mov var_7C, edx
    485.   loc_004058AB: mov var_84, 00000008h
    486.   loc_004058B5: call ebx
    487.   loc_004058B7: lea edx, var_84
    488.   loc_004058BD: lea eax, var_64
    489.   loc_004058C0: push edx
    490.   loc_004058C1: lea ecx, var_74
    491.   loc_004058C4: push eax
    492.   loc_004058C5: push ecx
    493.   loc_004058C6: call MSVBVM60.DLL.__vbaVarAdd
    494.   loc_004058CC: push eax
    495.   loc_004058CD: call MSVBVM60.DLL.__vbaStrVarMove
    496.   loc_004058D3: mov edx, eax
    497.   loc_004058D5: lea ecx, var_3C
    498.   loc_004058D8: call MSVBVM60.DLL.__vbaStrMove
    499.   loc_004058DE: lea edx, var_74
    500.   loc_004058E1: lea eax, var_64
    501.   loc_004058E4: push edx
    502.   loc_004058E5: push eax
    503.   loc_004058E6: push 00000002h
    504.   loc_004058E8: call MSVBVM60.DLL.__vbaFreeVarList
    505.   loc_004058EE: mov eax, var_18
    506.   loc_004058F1: add esp, 0000000Ch
    507.   loc_004058F4: lea ecx, var_88
    508.   loc_004058FA: lea edx, var_1C
    509.   loc_004058FD: push ecx
    510.   loc_004058FE: push 00000001h
    511.   loc_00405900: mov var_88, 00000000h
    512.   loc_0040590A: push edx
    513.   loc_0040590B: add eax, 0000000Ah
    514.   loc_0040590E: jo 00406570h
    515.   loc_00405914: push eax
    516.   loc_00405915: push esi
    517.   loc_00405916: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    518.   loc_0040591B: call edi
    519.   loc_0040591D: mov edx, var_1C
    520.   loc_00405920: mov ecx, var_3C
    521.   loc_00405923: and edx, 000000FFh
    522.   loc_00405929: lea eax, var_64
    523.   loc_0040592C: push edx
    524.   loc_0040592D: push eax
    525.   loc_0040592E: mov var_7C, ecx
    526.   loc_00405931: mov var_84, 00000008h
    527.   loc_0040593B: call ebx
    528.   loc_0040593D: lea ecx, var_84
    529.   loc_00405943: lea edx, var_64
    530.   loc_00405946: push ecx
    531.   loc_00405947: lea eax, var_74
    532.   loc_0040594A: push edx
    533.   loc_0040594B: push eax
    534.   loc_0040594C: call MSVBVM60.DLL.__vbaVarAdd
    535.   loc_00405952: push eax
    536.   loc_00405953: call MSVBVM60.DLL.__vbaStrVarMove
    537.   loc_00405959: mov edx, eax
    538.   loc_0040595B: lea ecx, var_3C
    539.   loc_0040595E: call MSVBVM60.DLL.__vbaStrMove
    540.   loc_00405964: lea ecx, var_74
    541.   loc_00405967: lea edx, var_64
    542.   loc_0040596A: push ecx
    543.   loc_0040596B: push edx
    544.   loc_0040596C: push 00000002h
    545.   loc_0040596E: call MSVBVM60.DLL.__vbaFreeVarList
    546.   loc_00405974: mov edx, var_18
    547.   loc_00405977: add esp, 0000000Ch
    548.   loc_0040597A: lea eax, var_88
    549.   loc_00405980: lea ecx, var_1C
    550.   loc_00405983: push eax
    551.   loc_00405984: add edx, 0000000Bh
    552.   loc_00405987: push 00000001h
    553.   loc_00405989: push ecx
    554.   loc_0040598A: jo 00406570h
    555.   loc_00405990: push edx
    556.   loc_00405991: push esi
    557.   loc_00405992: mov var_88, 00000000h
    558.   loc_0040599C: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    559.   loc_004059A1: call edi
    560.   loc_004059A3: mov ecx, var_1C
    561.   loc_004059A6: mov eax, var_3C
    562.   loc_004059A9: and ecx, 000000FFh
    563.   loc_004059AF: lea edx, var_64
    564.   loc_004059B2: push ecx
    565.   loc_004059B3: push edx
    566.   loc_004059B4: mov var_7C, eax
    567.   loc_004059B7: mov var_84, 00000008h
    568.   loc_004059C1: call ebx
    569.   loc_004059C3: lea eax, var_84
    570.   loc_004059C9: lea ecx, var_64
    571.   loc_004059CC: push eax
    572.   loc_004059CD: lea edx, var_74
    573.   loc_004059D0: push ecx
    574.   loc_004059D1: push edx
    575.   loc_004059D2: call MSVBVM60.DLL.__vbaVarAdd
    576.   loc_004059D8: push eax
    577.   loc_004059D9: call MSVBVM60.DLL.__vbaStrVarMove
    578.   loc_004059DF: mov edx, eax
    579.   loc_004059E1: lea ecx, var_3C
    580.   loc_004059E4: call MSVBVM60.DLL.__vbaStrMove
    581.   loc_004059EA: lea eax, var_74
    582.   loc_004059ED: lea ecx, var_64
    583.   loc_004059F0: push eax
    584.   loc_004059F1: push ecx
    585.   loc_004059F2: push 00000002h
    586.   loc_004059F4: call MSVBVM60.DLL.__vbaFreeVarList
    587.   loc_004059FA: mov ecx, var_18
    588.   loc_004059FD: add esp, 0000000Ch
    589.   loc_00405A00: lea edx, var_88
    590.   loc_00405A06: lea eax, var_1C
    591.   loc_00405A09: push edx
    592.   loc_00405A0A: push 00000001h
    593.   loc_00405A0C: mov var_88, 00000000h
    594.   loc_00405A16: push eax
    595.   loc_00405A17: add ecx, 0000000Ch
    596.   loc_00405A1A: jo 00406570h
    597.   loc_00405A20: push ecx
    598.   loc_00405A21: push esi
    599.   loc_00405A22: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    600.   loc_00405A27: call edi
    601.   loc_00405A29: mov eax, var_1C
    602.   loc_00405A2C: mov edx, var_3C
    603.   loc_00405A2F: and eax, 000000FFh
    604.   loc_00405A34: lea ecx, var_64
    605.   loc_00405A37: push eax
    606.   loc_00405A38: push ecx
    607.   loc_00405A39: mov var_7C, edx
    608.   loc_00405A3C: mov var_84, 00000008h
    609.   loc_00405A46: call ebx
    610.   loc_00405A48: lea edx, var_84
    611.   loc_00405A4E: lea eax, var_64
    612.   loc_00405A51: push edx
    613.   loc_00405A52: lea ecx, var_74
    614.   loc_00405A55: push eax
    615.   loc_00405A56: push ecx
    616.   loc_00405A57: call MSVBVM60.DLL.__vbaVarAdd
    617.   loc_00405A5D: push eax
    618.   loc_00405A5E: call MSVBVM60.DLL.__vbaStrVarMove
    619.   loc_00405A64: mov edx, eax
    620.   loc_00405A66: lea ecx, var_3C
    621.   loc_00405A69: call MSVBVM60.DLL.__vbaStrMove
    622.   loc_00405A6F: lea edx, var_74
    623.   loc_00405A72: lea eax, var_64
    624.   loc_00405A75: push edx
    625.   loc_00405A76: push eax
    626.   loc_00405A77: push 00000002h
    627.   loc_00405A79: call MSVBVM60.DLL.__vbaFreeVarList
    628.   loc_00405A7F: mov eax, var_18
    629.   loc_00405A82: add esp, 0000000Ch
    630.   loc_00405A85: lea ecx, var_88
    631.   loc_00405A8B: lea edx, var_1C
    632.   loc_00405A8E: push ecx
    633.   loc_00405A8F: add eax, 0000000Dh
    634.   loc_00405A92: push 00000001h
    635.   loc_00405A94: push edx
    636.   loc_00405A95: jo 00406570h
    637.   loc_00405A9B: push eax
    638.   loc_00405A9C: push esi
    639.   loc_00405A9D: mov var_88, 00000000h
    640.   loc_00405AA7: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    641.   loc_00405AAC: call edi
    642.   loc_00405AAE: mov edx, var_1C
    643.   loc_00405AB1: mov ecx, var_3C
    644.   loc_00405AB4: and edx, 000000FFh
    645.   loc_00405ABA: lea eax, var_64
    646.   loc_00405ABD: push edx
    647.   loc_00405ABE: push eax
    648.   loc_00405ABF: mov var_7C, ecx
    649.   loc_00405AC2: mov var_84, 00000008h
    650.   loc_00405ACC: call ebx
    651.   loc_00405ACE: lea ecx, var_84
    652.   loc_00405AD4: lea edx, var_64
    653.   loc_00405AD7: push ecx
    654.   loc_00405AD8: lea eax, var_74
    655.   loc_00405ADB: push edx
    656.   loc_00405ADC: push eax
    657.   loc_00405ADD: call MSVBVM60.DLL.__vbaVarAdd
    658.   loc_00405AE3: push eax
    659.   loc_00405AE4: call MSVBVM60.DLL.__vbaStrVarMove
    660.   loc_00405AEA: mov edx, eax
    661.   loc_00405AEC: lea ecx, var_3C
    662.   loc_00405AEF: call MSVBVM60.DLL.__vbaStrMove
    663.   loc_00405AF5: lea ecx, var_74
    664.   loc_00405AF8: lea edx, var_64
    665.   loc_00405AFB: push ecx
    666.   loc_00405AFC: push edx
    667.   loc_00405AFD: push 00000002h
    668.   loc_00405AFF: call MSVBVM60.DLL.__vbaFreeVarList
    669.   loc_00405B05: add esp, 0000000Ch
    670.   loc_00405B08: lea eax, var_88
    671.   loc_00405B0E: lea ecx, var_1C
    672.   loc_00405B11: mov var_88, 00000000h
    673.   loc_00405B1B: push eax
    674.   loc_00405B1C: push 00000001h
    675.   loc_00405B1E: push ecx
    676.   loc_00405B1F: mov edx, var_18
    677.   loc_00405B22: add edx, 0000000Eh
    678.   loc_00405B25: jo 00406570h
    679.   loc_00405B2B: push edx
    680.   loc_00405B2C: push esi
    681.   loc_00405B2D: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    682.   loc_00405B32: call edi
    683.   loc_00405B34: mov ecx, var_1C
    684.   loc_00405B37: mov eax, var_3C
    685.   loc_00405B3A: and ecx, 000000FFh
    686.   loc_00405B40: lea edx, var_64
    687.   loc_00405B43: push ecx
    688.   loc_00405B44: push edx
    689.   loc_00405B45: mov var_7C, eax
    690.   loc_00405B48: mov var_84, 00000008h
    691.   loc_00405B52: call ebx
    692.   loc_00405B54: lea eax, var_84
    693.   loc_00405B5A: lea ecx, var_64
    694.   loc_00405B5D: push eax
    695.   loc_00405B5E: lea edx, var_74
    696.   loc_00405B61: push ecx
    697.   loc_00405B62: push edx
    698.   loc_00405B63: call MSVBVM60.DLL.__vbaVarAdd
    699.   loc_00405B69: push eax
    700.   loc_00405B6A: call MSVBVM60.DLL.__vbaStrVarMove
    701.   loc_00405B70: mov edx, eax
    702.   loc_00405B72: lea ecx, var_3C
    703.   loc_00405B75: call MSVBVM60.DLL.__vbaStrMove
    704.   loc_00405B7B: lea eax, var_74
    705.   loc_00405B7E: lea ecx, var_64
    706.   loc_00405B81: push eax
    707.   loc_00405B82: push ecx
    708.   loc_00405B83: push 00000002h
    709.   loc_00405B85: call MSVBVM60.DLL.__vbaFreeVarList
    710.   loc_00405B8B: mov eax, arg_8
    711.   loc_00405B8E: add esp, 0000000Ch
    712.   loc_00405B91: mov edx, [eax]
    713.   loc_00405B93: push eax
    714.   loc_00405B94: call [edx+00000338h]
    715.   loc_00405B9A: push eax
    716.   loc_00405B9B: lea eax, var_50
    717.   loc_00405B9E: push eax
    718.   loc_00405B9F: call [0040103Ch] ; Set (object)
    719.   loc_00405BA5: mov edx, var_3C
    720.   loc_00405BA8: mov ecx, [eax]
    721.   loc_00405BAA: push edx
    722.   loc_00405BAB: push eax
    723.   loc_00405BAC: mov var_8C, eax
    724.   loc_00405BB2: call [ecx+000000A4h]
    725.   loc_00405BB8: test eax, eax
    726.   loc_00405BBA: fclex
    727.   loc_00405BBC: jnl 405BD6h
    728.   loc_00405BBE: mov ecx, var_8C
    729.   loc_00405BC4: push 000000A4h
    730.   loc_00405BC9: push 004036A0h
    731.   loc_00405BCE: push ecx
    732.   loc_00405BCF: push eax
    733.   loc_00405BD0: call MSVBVM60.DLL.__vbaHresultCheckObj
    734.   loc_00405BD6: lea ecx, var_50
    735.   loc_00405BD9: call MSVBVM60.DLL.__vbaFreeObj
    736.   loc_00405BDF: mov edx, 004036B4h
    737.   loc_00405BE4: lea ecx, var_3C
    738.   loc_00405BE7: call MSVBVM60.DLL.__vbaStrCopy
    739.   loc_00405BED: mov eax, var_18
    740.   loc_00405BF0: lea edx, var_88
    741.   loc_00405BF6: add eax, 00000020h
    742.   loc_00405BF9: push edx
    743.   loc_00405BFA: lea ecx, var_1C
    744.   loc_00405BFD: push 00000001h
    745.   loc_00405BFF: jo 00406570h
    746.   loc_00405C05: push ecx
    747.   loc_00405C06: push eax
    748.   loc_00405C07: push esi
    749.   loc_00405C08: mov var_18, eax
    750.   loc_00405C0B: mov var_88, 00000000h
    751.   loc_00405C15: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    752.   loc_00405C1A: call edi
    753.   loc_00405C1C: mov edx, var_1C
    754.   loc_00405C1F: lea eax, var_64
    755.   loc_00405C22: and edx, 000000FFh
    756.   loc_00405C28: push edx
    757.   loc_00405C29: push eax
    758.   loc_00405C2A: call ebx
    759.   loc_00405C2C: lea ecx, var_64
    760.   loc_00405C2F: push ecx
    761.   loc_00405C30: call MSVBVM60.DLL.__vbaStrVarMove
    762.   loc_00405C36: mov edx, eax
    763.   loc_00405C38: lea ecx, var_3C
    764.   loc_00405C3B: call MSVBVM60.DLL.__vbaStrMove
    765.   loc_00405C41: lea ecx, var_64
    766.   loc_00405C44: call MSVBVM60.DLL.__vbaFreeVar
    767.   loc_00405C4A: mov ecx, var_18
    768.   loc_00405C4D: lea edx, var_88
    769.   loc_00405C53: push edx
    770.   loc_00405C54: lea eax, var_1C
    771.   loc_00405C57: add ecx, 00000001h
    772.   loc_00405C5A: push 00000001h
    773.   loc_00405C5C: push eax
    774.   loc_00405C5D: mov var_88, 00000000h
    775.   loc_00405C67: jo 00406570h
    776.   loc_00405C6D: push ecx
    777.   loc_00405C6E: push esi
    778.   loc_00405C6F: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    779.   loc_00405C74: call edi
    780.   loc_00405C76: mov eax, var_1C
    781.   loc_00405C79: mov edx, var_3C
    782.   loc_00405C7C: and eax, 000000FFh
    783.   loc_00405C81: lea ecx, var_64
    784.   loc_00405C84: push eax
    785.   loc_00405C85: push ecx
    786.   loc_00405C86: mov var_7C, edx
    787.   loc_00405C89: mov var_84, 00000008h
    788.   loc_00405C93: call ebx
    789.   loc_00405C95: lea edx, var_84
    790.   loc_00405C9B: lea eax, var_64
    791.   loc_00405C9E: push edx
    792.   loc_00405C9F: lea ecx, var_74
    793.   loc_00405CA2: push eax
    794.   loc_00405CA3: push ecx
    795.   loc_00405CA4: call MSVBVM60.DLL.__vbaVarAdd
    796.   loc_00405CAA: push eax
    797.   loc_00405CAB: call MSVBVM60.DLL.__vbaStrVarMove
    798.   loc_00405CB1: mov edx, eax
    799.   loc_00405CB3: lea ecx, var_3C
    800.   loc_00405CB6: call MSVBVM60.DLL.__vbaStrMove
    801.   loc_00405CBC: lea edx, var_74
    802.   loc_00405CBF: lea eax, var_64
    803.   loc_00405CC2: push edx
    804.   loc_00405CC3: push eax
    805.   loc_00405CC4: push 00000002h
    806.   loc_00405CC6: call MSVBVM60.DLL.__vbaFreeVarList
    807.   loc_00405CCC: mov eax, var_18
    808.   loc_00405CCF: add esp, 0000000Ch
    809.   loc_00405CD2: lea ecx, var_88
    810.   loc_00405CD8: lea edx, var_1C
    811.   loc_00405CDB: push ecx
    812.   loc_00405CDC: push 00000001h
    813.   loc_00405CDE: mov var_88, 00000000h
    814.   loc_00405CE8: push edx
    815.   loc_00405CE9: add eax, 00000002h
    816.   loc_00405CEC: jo 00406570h
    817.   loc_00405CF2: push eax
    818.   loc_00405CF3: push esi
    819.   loc_00405CF4: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    820.   loc_00405CF9: call edi
    821.   loc_00405CFB: mov edx, var_1C
    822.   loc_00405CFE: mov ecx, var_3C
    823.   loc_00405D01: and edx, 000000FFh
    824.   loc_00405D07: lea eax, var_64
    825.   loc_00405D0A: push edx
    826.   loc_00405D0B: push eax
    827.   loc_00405D0C: mov var_7C, ecx
    828.   loc_00405D0F: mov var_84, 00000008h
    829.   loc_00405D19: call ebx
    830.   loc_00405D1B: lea ecx, var_84
    831.   loc_00405D21: lea edx, var_64
    832.   loc_00405D24: push ecx
    833.   loc_00405D25: lea eax, var_74
    834.   loc_00405D28: push edx
    835.   loc_00405D29: push eax
    836.   loc_00405D2A: call MSVBVM60.DLL.__vbaVarAdd
    837.   loc_00405D30: push eax
    838.   loc_00405D31: call MSVBVM60.DLL.__vbaStrVarMove
    839.   loc_00405D37: mov edx, eax
    840.   loc_00405D39: lea ecx, var_3C
    841.   loc_00405D3C: call MSVBVM60.DLL.__vbaStrMove
    842.   loc_00405D42: lea ecx, var_74
    843.   loc_00405D45: lea edx, var_64
    844.   loc_00405D48: push ecx
    845.   loc_00405D49: push edx
    846.   loc_00405D4A: push 00000002h
    847.   loc_00405D4C: call MSVBVM60.DLL.__vbaFreeVarList
    848.   loc_00405D52: mov edx, var_18
    849.   loc_00405D55: add esp, 0000000Ch
    850.   loc_00405D58: lea eax, var_88
    851.   loc_00405D5E: lea ecx, var_1C
    852.   loc_00405D61: push eax
    853.   loc_00405D62: add edx, 00000003h
    854.   loc_00405D65: push 00000001h
    855.   loc_00405D67: push ecx
    856.   loc_00405D68: jo 00406570h
    857.   loc_00405D6E: push edx
    858.   loc_00405D6F: push esi
    859.   loc_00405D70: mov var_88, 00000000h
    860.   loc_00405D7A: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    861.   loc_00405D7F: call edi
    862.   loc_00405D81: mov ecx, var_1C
    863.   loc_00405D84: mov eax, var_3C
    864.   loc_00405D87: and ecx, 000000FFh
    865.   loc_00405D8D: lea edx, var_64
    866.   loc_00405D90: push ecx
    867.   loc_00405D91: push edx
    868.   loc_00405D92: mov var_7C, eax
    869.   loc_00405D95: mov var_84, 00000008h
    870.   loc_00405D9F: call ebx
    871.   loc_00405DA1: lea eax, var_84
    872.   loc_00405DA7: lea ecx, var_64
    873.   loc_00405DAA: push eax
    874.   loc_00405DAB: lea edx, var_74
    875.   loc_00405DAE: push ecx
    876.   loc_00405DAF: push edx
    877.   loc_00405DB0: call MSVBVM60.DLL.__vbaVarAdd
    878.   loc_00405DB6: push eax
    879.   loc_00405DB7: call MSVBVM60.DLL.__vbaStrVarMove
    880.   loc_00405DBD: mov edx, eax
    881.   loc_00405DBF: lea ecx, var_3C
    882.   loc_00405DC2: call MSVBVM60.DLL.__vbaStrMove
    883.   loc_00405DC8: lea eax, var_74
    884.   loc_00405DCB: lea ecx, var_64
    885.   loc_00405DCE: push eax
    886.   loc_00405DCF: push ecx
    887.   loc_00405DD0: push 00000002h
    888.   loc_00405DD2: call MSVBVM60.DLL.__vbaFreeVarList
    889.   loc_00405DD8: add esp, 0000000Ch
    890.   loc_00405DDB: lea edx, var_88
    891.   loc_00405DE1: lea eax, var_1C
    892.   loc_00405DE4: mov var_88, 00000000h
    893.   loc_00405DEE: push edx
    894.   loc_00405DEF: push 00000001h
    895.   loc_00405DF1: push eax
    896.   loc_00405DF2: mov ecx, var_18
    897.   loc_00405DF5: add ecx, 00000004h
    898.   loc_00405DF8: jo 00406570h
    899.   loc_00405DFE: push ecx
    900.   loc_00405DFF: push esi
    901.   loc_00405E00: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    902.   loc_00405E05: call edi
    903.   loc_00405E07: mov eax, var_1C
    904.   loc_00405E0A: mov edx, var_3C
    905.   loc_00405E0D: and eax, 000000FFh
    906.   loc_00405E12: lea ecx, var_64
    907.   loc_00405E15: push eax
    908.   loc_00405E16: push ecx
    909.   loc_00405E17: mov var_7C, edx
    910.   loc_00405E1A: mov var_84, 00000008h
    911.   loc_00405E24: call ebx
    912.   loc_00405E26: lea edx, var_84
    913.   loc_00405E2C: lea eax, var_64
    914.   loc_00405E2F: push edx
    915.   loc_00405E30: lea ecx, var_74
    916.   loc_00405E33: push eax
    917.   loc_00405E34: push ecx
    918.   loc_00405E35: call MSVBVM60.DLL.__vbaVarAdd
    919.   loc_00405E3B: push eax
    920.   loc_00405E3C: call MSVBVM60.DLL.__vbaStrVarMove
    921.   loc_00405E42: mov edx, eax
    922.   loc_00405E44: lea ecx, var_3C
    923.   loc_00405E47: call MSVBVM60.DLL.__vbaStrMove
    924.   loc_00405E4D: lea edx, var_74
    925.   loc_00405E50: lea eax, var_64
    926.   loc_00405E53: push edx
    927.   loc_00405E54: push eax
    928.   loc_00405E55: push 00000002h
    929.   loc_00405E57: call MSVBVM60.DLL.__vbaFreeVarList
    930.   loc_00405E5D: mov eax, var_18
    931.   loc_00405E60: add esp, 0000000Ch
    932.   loc_00405E63: lea ecx, var_88
    933.   loc_00405E69: lea edx, var_1C
    934.   loc_00405E6C: push ecx
    935.   loc_00405E6D: add eax, 00000005h
    936.   loc_00405E70: push 00000001h
    937.   loc_00405E72: push edx
    938.   loc_00405E73: jo 00406570h
    939.   loc_00405E79: push eax
    940.   loc_00405E7A: push esi
    941.   loc_00405E7B: mov var_88, 00000000h
    942.   loc_00405E85: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    943.   loc_00405E8A: call edi
    944.   loc_00405E8C: mov edx, var_1C
    945.   loc_00405E8F: mov ecx, var_3C
    946.   loc_00405E92: and edx, 000000FFh
    947.   loc_00405E98: lea eax, var_64
    948.   loc_00405E9B: push edx
    949.   loc_00405E9C: push eax
    950.   loc_00405E9D: mov var_7C, ecx
    951.   loc_00405EA0: mov var_84, 00000008h
    952.   loc_00405EAA: call ebx
    953.   loc_00405EAC: lea ecx, var_84
    954.   loc_00405EB2: lea edx, var_64
    955.   loc_00405EB5: push ecx
    956.   loc_00405EB6: lea eax, var_74
    957.   loc_00405EB9: push edx
    958.   loc_00405EBA: push eax
    959.   loc_00405EBB: call MSVBVM60.DLL.__vbaVarAdd
    960.   loc_00405EC1: push eax
    961.   loc_00405EC2: call MSVBVM60.DLL.__vbaStrVarMove
    962.   loc_00405EC8: mov edx, eax
    963.   loc_00405ECA: lea ecx, var_3C
    964.   loc_00405ECD: call MSVBVM60.DLL.__vbaStrMove
    965.   loc_00405ED3: lea ecx, var_74
    966.   loc_00405ED6: lea edx, var_64
    967.   loc_00405ED9: push ecx
    968.   loc_00405EDA: push edx
    969.   loc_00405EDB: push 00000002h
    970.   loc_00405EDD: call MSVBVM60.DLL.__vbaFreeVarList
    971.   loc_00405EE3: add esp, 0000000Ch
    972.   loc_00405EE6: lea eax, var_88
    973.   loc_00405EEC: mov var_88, 00000000h
    974.   loc_00405EF6: lea ecx, var_1C
    975.   loc_00405EF9: push eax
    976.   loc_00405EFA: push 00000001h
    977.   loc_00405EFC: mov edx, var_18
    978.   loc_00405EFF: push ecx
    979.   loc_00405F00: add edx, 00000006h
    980.   loc_00405F03: jo 00406570h
    981.   loc_00405F09: push edx
    982.   loc_00405F0A: push esi
    983.   loc_00405F0B: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    984.   loc_00405F10: call edi
    985.   loc_00405F12: mov ecx, var_1C
    986.   loc_00405F15: mov eax, var_3C
    987.   loc_00405F18: and ecx, 000000FFh
    988.   loc_00405F1E: lea edx, var_64
    989.   loc_00405F21: push ecx
    990.   loc_00405F22: push edx
    991.   loc_00405F23: mov var_7C, eax
    992.   loc_00405F26: mov var_84, 00000008h
    993.   loc_00405F30: call ebx
    994.   loc_00405F32: lea eax, var_84
    995.   loc_00405F38: lea ecx, var_64
    996.   loc_00405F3B: push eax
    997.   loc_00405F3C: lea edx, var_74
    998.   loc_00405F3F: push ecx
    999.   loc_00405F40: push edx
    1000.   loc_00405F41: call MSVBVM60.DLL.__vbaVarAdd
    1001.   loc_00405F47: push eax
    1002.   loc_00405F48: call MSVBVM60.DLL.__vbaStrVarMove
    1003.   loc_00405F4E: mov edx, eax
    1004.   loc_00405F50: lea ecx, var_3C
    1005.   loc_00405F53: call MSVBVM60.DLL.__vbaStrMove
    1006.   loc_00405F59: lea eax, var_74
    1007.   loc_00405F5C: lea ecx, var_64
    1008.   loc_00405F5F: push eax
    1009.   loc_00405F60: push ecx
    1010.   loc_00405F61: push 00000002h
    1011.   loc_00405F63: call MSVBVM60.DLL.__vbaFreeVarList
    1012.   loc_00405F69: mov ecx, var_18
    1013.   loc_00405F6C: add esp, 0000000Ch
    1014.   loc_00405F6F: lea edx, var_88
    1015.   loc_00405F75: lea eax, var_1C
    1016.   loc_00405F78: push edx
    1017.   loc_00405F79: add ecx, 00000007h
    1018.   loc_00405F7C: push 00000001h
    1019.   loc_00405F7E: push eax
    1020.   loc_00405F7F: jo 00406570h
    1021.   loc_00405F85: push ecx
    1022.   loc_00405F86: push esi
    1023.   loc_00405F87: mov var_88, 00000000h
    1024.   loc_00405F91: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1025.   loc_00405F96: call edi
    1026.   loc_00405F98: mov eax, var_1C
    1027.   loc_00405F9B: mov edx, var_3C
    1028.   loc_00405F9E: and eax, 000000FFh
    1029.   loc_00405FA3: lea ecx, var_64
    1030.   loc_00405FA6: push eax
    1031.   loc_00405FA7: push ecx
    1032.   loc_00405FA8: mov var_7C, edx
    1033.   loc_00405FAB: mov var_84, 00000008h
    1034.   loc_00405FB5: call ebx
    1035.   loc_00405FB7: lea edx, var_84
    1036.   loc_00405FBD: lea eax, var_64
    1037.   loc_00405FC0: push edx
    1038.   loc_00405FC1: lea ecx, var_74
    1039.   loc_00405FC4: push eax
    1040.   loc_00405FC5: push ecx
    1041.   loc_00405FC6: call MSVBVM60.DLL.__vbaVarAdd
    1042.   loc_00405FCC: push eax
    1043.   loc_00405FCD: call MSVBVM60.DLL.__vbaStrVarMove
    1044.   loc_00405FD3: mov edx, eax
    1045.   loc_00405FD5: lea ecx, var_3C
    1046.   loc_00405FD8: call MSVBVM60.DLL.__vbaStrMove
    1047.   loc_00405FDE: lea edx, var_74
    1048.   loc_00405FE1: lea eax, var_64
    1049.   loc_00405FE4: push edx
    1050.   loc_00405FE5: push eax
    1051.   loc_00405FE6: push 00000002h
    1052.   loc_00405FE8: call MSVBVM60.DLL.__vbaFreeVarList
    1053.   loc_00405FEE: add esp, 0000000Ch
    1054.   loc_00405FF1: lea ecx, var_88
    1055.   loc_00405FF7: mov var_88, 00000000h
    1056.   loc_00406001: push ecx
    1057.   loc_00406002: push 00000001h
    1058.   loc_00406004: mov eax, var_18
    1059.   loc_00406007: lea edx, var_1C
    1060.   loc_0040600A: add eax, 00000008h
    1061.   loc_0040600D: push edx
    1062.   loc_0040600E: jo 00406570h
    1063.   loc_00406014: push eax
    1064.   loc_00406015: push esi
    1065.   loc_00406016: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1066.   loc_0040601B: call edi
    1067.   loc_0040601D: mov edx, var_1C
    1068.   loc_00406020: mov ecx, var_3C
    1069.   loc_00406023: and edx, 000000FFh
    1070.   loc_00406029: lea eax, var_64
    1071.   loc_0040602C: push edx
    1072.   loc_0040602D: push eax
    1073.   loc_0040602E: mov var_7C, ecx
    1074.   loc_00406031: mov var_84, 00000008h
    1075.   loc_0040603B: call ebx
    1076.   loc_0040603D: lea ecx, var_84
    1077.   loc_00406043: lea edx, var_64
    1078.   loc_00406046: push ecx
    1079.   loc_00406047: lea eax, var_74
    1080.   loc_0040604A: push edx
    1081.   loc_0040604B: push eax
    1082.   loc_0040604C: call MSVBVM60.DLL.__vbaVarAdd
    1083.   loc_00406052: push eax
    1084.   loc_00406053: call MSVBVM60.DLL.__vbaStrVarMove
    1085.   loc_00406059: mov edx, eax
    1086.   loc_0040605B: lea ecx, var_3C
    1087.   loc_0040605E: call MSVBVM60.DLL.__vbaStrMove
    1088.   loc_00406064: lea ecx, var_74
    1089.   loc_00406067: lea edx, var_64
    1090.   loc_0040606A: push ecx
    1091.   loc_0040606B: push edx
    1092.   loc_0040606C: push 00000002h
    1093.   loc_0040606E: call MSVBVM60.DLL.__vbaFreeVarList
    1094.   loc_00406074: mov edx, var_18
    1095.   loc_00406077: add esp, 0000000Ch
    1096.   loc_0040607A: lea eax, var_88
    1097.   loc_00406080: lea ecx, var_1C
    1098.   loc_00406083: push eax
    1099.   loc_00406084: add edx, 00000009h
    1100.   loc_00406087: push 00000001h
    1101.   loc_00406089: push ecx
    1102.   loc_0040608A: jo 00406570h
    1103.   loc_00406090: push edx
    1104.   loc_00406091: push esi
    1105.   loc_00406092: mov var_88, 00000000h
    1106.   loc_0040609C: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1107.   loc_004060A1: call edi
    1108.   loc_004060A3: mov ecx, var_1C
    1109.   loc_004060A6: mov eax, var_3C
    1110.   loc_004060A9: and ecx, 000000FFh
    1111.   loc_004060AF: lea edx, var_64
    1112.   loc_004060B2: push ecx
    1113.   loc_004060B3: push edx
    1114.   loc_004060B4: mov var_7C, eax
    1115.   loc_004060B7: mov var_84, 00000008h
    1116.   loc_004060C1: call ebx
    1117.   loc_004060C3: lea eax, var_84
    1118.   loc_004060C9: lea ecx, var_64
    1119.   loc_004060CC: push eax
    1120.   loc_004060CD: lea edx, var_74
    1121.   loc_004060D0: push ecx
    1122.   loc_004060D1: push edx
    1123.   loc_004060D2: call MSVBVM60.DLL.__vbaVarAdd
    1124.   loc_004060D8: push eax
    1125.   loc_004060D9: call MSVBVM60.DLL.__vbaStrVarMove
    1126.   loc_004060DF: mov edx, eax
    1127.   loc_004060E1: lea ecx, var_3C
    1128.   loc_004060E4: call MSVBVM60.DLL.__vbaStrMove
    1129.   loc_004060EA: lea eax, var_74
    1130.   loc_004060ED: lea ecx, var_64
    1131.   loc_004060F0: push eax
    1132.   loc_004060F1: push ecx
    1133.   loc_004060F2: push 00000002h
    1134.   loc_004060F4: call MSVBVM60.DLL.__vbaFreeVarList
    1135.   loc_004060FA: add esp, 0000000Ch
    1136.   loc_004060FD: lea edx, var_88
    1137.   loc_00406103: mov var_88, 00000000h
    1138.   loc_0040610D: push edx
    1139.   loc_0040610E: mov ecx, var_18
    1140.   loc_00406111: lea eax, var_1C
    1141.   loc_00406114: add ecx, 0000000Ah
    1142.   loc_00406117: push 00000001h
    1143.   loc_00406119: push eax
    1144.   loc_0040611A: jo 00406570h
    1145.   loc_00406120: push ecx
    1146.   loc_00406121: push esi
    1147.   loc_00406122: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1148.   loc_00406127: call edi
    1149.   loc_00406129: mov eax, var_1C
    1150.   loc_0040612C: mov edx, var_3C
    1151.   loc_0040612F: and eax, 000000FFh
    1152.   loc_00406134: lea ecx, var_64
    1153.   loc_00406137: push eax
    1154.   loc_00406138: push ecx
    1155.   loc_00406139: mov var_7C, edx
    1156.   loc_0040613C: mov var_84, 00000008h
    1157.   loc_00406146: call ebx
    1158.   loc_00406148: lea edx, var_84
    1159.   loc_0040614E: lea eax, var_64
    1160.   loc_00406151: push edx
    1161.   loc_00406152: lea ecx, var_74
    1162.   loc_00406155: push eax
    1163.   loc_00406156: push ecx
    1164.   loc_00406157: call MSVBVM60.DLL.__vbaVarAdd
    1165.   loc_0040615D: push eax
    1166.   loc_0040615E: call MSVBVM60.DLL.__vbaStrVarMove
    1167.   loc_00406164: mov edx, eax
    1168.   loc_00406166: lea ecx, var_3C
    1169.   loc_00406169: call MSVBVM60.DLL.__vbaStrMove
    1170.   loc_0040616F: lea edx, var_74
    1171.   loc_00406172: lea eax, var_64
    1172.   loc_00406175: push edx
    1173.   loc_00406176: push eax
    1174.   loc_00406177: push 00000002h
    1175.   loc_00406179: call MSVBVM60.DLL.__vbaFreeVarList
    1176.   loc_0040617F: mov eax, var_18
    1177.   loc_00406182: add esp, 0000000Ch
    1178.   loc_00406185: lea ecx, var_88
    1179.   loc_0040618B: lea edx, var_1C
    1180.   loc_0040618E: push ecx
    1181.   loc_0040618F: add eax, 0000000Bh
    1182.   loc_00406192: push 00000001h
    1183.   loc_00406194: push edx
    1184.   loc_00406195: jo 00406570h
    1185.   loc_0040619B: push eax
    1186.   loc_0040619C: push esi
    1187.   loc_0040619D: mov var_88, 00000000h
    1188.   loc_004061A7: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1189.   loc_004061AC: call edi
    1190.   loc_004061AE: mov edx, var_1C
    1191.   loc_004061B1: mov ecx, var_3C
    1192.   loc_004061B4: and edx, 000000FFh
    1193.   loc_004061BA: lea eax, var_64
    1194.   loc_004061BD: push edx
    1195.   loc_004061BE: push eax
    1196.   loc_004061BF: mov var_7C, ecx
    1197.   loc_004061C2: mov var_84, 00000008h
    1198.   loc_004061CC: call ebx
    1199.   loc_004061CE: lea ecx, var_84
    1200.   loc_004061D4: lea edx, var_64
    1201.   loc_004061D7: push ecx
    1202.   loc_004061D8: lea eax, var_74
    1203.   loc_004061DB: push edx
    1204.   loc_004061DC: push eax
    1205.   loc_004061DD: call MSVBVM60.DLL.__vbaVarAdd
    1206.   loc_004061E3: push eax
    1207.   loc_004061E4: call MSVBVM60.DLL.__vbaStrVarMove
    1208.   loc_004061EA: mov edx, eax
    1209.   loc_004061EC: lea ecx, var_3C
    1210.   loc_004061EF: call MSVBVM60.DLL.__vbaStrMove
    1211.   loc_004061F5: lea ecx, var_74
    1212.   loc_004061F8: lea edx, var_64
    1213.   loc_004061FB: push ecx
    1214.   loc_004061FC: push edx
    1215.   loc_004061FD: push 00000002h
    1216.   loc_004061FF: call MSVBVM60.DLL.__vbaFreeVarList
    1217.   loc_00406205: add esp, 0000000Ch
    1218.   loc_00406208: mov var_88, 00000000h
    1219.   loc_00406212: lea eax, var_88
    1220.   loc_00406218: mov edx, var_18
    1221.   loc_0040621B: push eax
    1222.   loc_0040621C: lea ecx, var_1C
    1223.   loc_0040621F: add edx, 0000000Ch
    1224.   loc_00406222: push 00000001h
    1225.   loc_00406224: push ecx
    1226.   loc_00406225: jo 00406570h
    1227.   loc_0040622B: push edx
    1228.   loc_0040622C: push esi
    1229.   loc_0040622D: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1230.   loc_00406232: call edi
    1231.   loc_00406234: mov ecx, var_1C
    1232.   loc_00406237: mov eax, var_3C
    1233.   loc_0040623A: and ecx, 000000FFh
    1234.   loc_00406240: lea edx, var_64
    1235.   loc_00406243: push ecx
    1236.   loc_00406244: push edx
    1237.   loc_00406245: mov var_7C, eax
    1238.   loc_00406248: mov var_84, 00000008h
    1239.   loc_00406252: call ebx
    1240.   loc_00406254: lea eax, var_84
    1241.   loc_0040625A: lea ecx, var_64
    1242.   loc_0040625D: push eax
    1243.   loc_0040625E: lea edx, var_74
    1244.   loc_00406261: push ecx
    1245.   loc_00406262: push edx
    1246.   loc_00406263: call MSVBVM60.DLL.__vbaVarAdd
    1247.   loc_00406269: push eax
    1248.   loc_0040626A: call MSVBVM60.DLL.__vbaStrVarMove
    1249.   loc_00406270: mov edx, eax
    1250.   loc_00406272: lea ecx, var_3C
    1251.   loc_00406275: call MSVBVM60.DLL.__vbaStrMove
    1252.   loc_0040627B: lea eax, var_74
    1253.   loc_0040627E: lea ecx, var_64
    1254.   loc_00406281: push eax
    1255.   loc_00406282: push ecx
    1256.   loc_00406283: push 00000002h
    1257.   loc_00406285: call MSVBVM60.DLL.__vbaFreeVarList
    1258.   loc_0040628B: mov ecx, var_18
    1259.   loc_0040628E: add esp, 0000000Ch
    1260.   loc_00406291: lea edx, var_88
    1261.   loc_00406297: lea eax, var_1C
    1262.   loc_0040629A: push edx
    1263.   loc_0040629B: add ecx, 0000000Dh
    1264.   loc_0040629E: push 00000001h
    1265.   loc_004062A0: push eax
    1266.   loc_004062A1: jo 00406570h
    1267.   loc_004062A7: push ecx
    1268.   loc_004062A8: push esi
    1269.   loc_004062A9: mov var_88, 00000000h
    1270.   loc_004062B3: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1271.   loc_004062B8: call edi
    1272.   loc_004062BA: mov eax, var_1C
    1273.   loc_004062BD: mov edx, var_3C
    1274.   loc_004062C0: and eax, 000000FFh
    1275.   loc_004062C5: lea ecx, var_64
    1276.   loc_004062C8: push eax
    1277.   loc_004062C9: push ecx
    1278.   loc_004062CA: mov var_7C, edx
    1279.   loc_004062CD: mov var_84, 00000008h
    1280.   loc_004062D7: call ebx
    1281.   loc_004062D9: lea edx, var_84
    1282.   loc_004062DF: lea eax, var_64
    1283.   loc_004062E2: push edx
    1284.   loc_004062E3: lea ecx, var_74
    1285.   loc_004062E6: push eax
    1286.   loc_004062E7: push ecx
    1287.   loc_004062E8: call MSVBVM60.DLL.__vbaVarAdd
    1288.   loc_004062EE: push eax
    1289.   loc_004062EF: call MSVBVM60.DLL.__vbaStrVarMove
    1290.   loc_004062F5: mov edx, eax
    1291.   loc_004062F7: lea ecx, var_3C
    1292.   loc_004062FA: call MSVBVM60.DLL.__vbaStrMove
    1293.   loc_00406300: lea edx, var_74
    1294.   loc_00406303: lea eax, var_64
    1295.   loc_00406306: push edx
    1296.   loc_00406307: push eax
    1297.   loc_00406308: push 00000002h
    1298.   loc_0040630A: call MSVBVM60.DLL.__vbaFreeVarList
    1299.   loc_00406310: add esp, 0000000Ch
    1300.   loc_00406313: mov var_88, 00000000h
    1301.   loc_0040631D: mov eax, var_18
    1302.   loc_00406320: lea ecx, var_88
    1303.   loc_00406326: push ecx
    1304.   loc_00406327: lea edx, var_1C
    1305.   loc_0040632A: add eax, 0000000Eh
    1306.   loc_0040632D: push 00000001h
    1307.   loc_0040632F: push edx
    1308.   loc_00406330: jo 00406570h
    1309.   loc_00406336: push eax
    1310.   loc_00406337: push esi
    1311.   loc_00406338: ReadProcessMemory(%x1, %x2, %x3, %x4, %x5)
    1312.   loc_0040633D: call edi
    1313.   loc_0040633F: mov ecx, var_1C
    1314.   loc_00406342: mov eax, var_3C
    1315.   loc_00406345: and ecx, 000000FFh
    1316.   loc_0040634B: lea edx, var_64
    1317.   loc_0040634E: push ecx
    1318.   loc_0040634F: push edx
    1319.   loc_00406350: mov var_7C, eax
    1320.   loc_00406353: mov var_84, 00000008h
    1321.   loc_0040635D: call ebx
    1322.   loc_0040635F: lea eax, var_84
    1323.   loc_00406365: lea ecx, var_64
    1324.   loc_00406368: push eax
    1325.   loc_00406369: lea edx, var_74
    1326.   loc_0040636C: push ecx
    1327.   loc_0040636D: push edx
    1328.   loc_0040636E: call MSVBVM60.DLL.__vbaVarAdd
    1329.   loc_00406374: push eax
    1330.   loc_00406375: call MSVBVM60.DLL.__vbaStrVarMove
    1331.   loc_0040637B: mov edx, eax
    1332.   loc_0040637D: lea ecx, var_3C
    1333.   loc_00406380: call MSVBVM60.DLL.__vbaStrMove
    1334.   loc_00406386: lea eax, var_74
    1335.   loc_00406389: lea ecx, var_64
    1336.   loc_0040638C: push eax
    1337.   loc_0040638D: push ecx
    1338.   loc_0040638E: push 00000002h
    1339.   loc_00406390: call MSVBVM60.DLL.__vbaFreeVarList
    1340.   loc_00406396: mov ebx, arg_8
    1341.   loc_00406399: add esp, 0000000Ch
    1342.   loc_0040639C: mov edx, [ebx]
    1343.   loc_0040639E: push ebx
    1344.   loc_0040639F: call [edx+00000334h]
    1345.   loc_004063A5: push eax
    1346.   loc_004063A6: lea eax, var_50
    1347.   loc_004063A9: push eax
    1348.   loc_004063AA: call [0040103Ch] ; Set (object)
    1349.   loc_004063B0: mov edx, var_3C
    1350.   loc_004063B3: mov esi, eax
    1351.   loc_004063B5: push edx
    1352.   loc_004063B6: push esi
    1353.   loc_004063B7: mov ecx, [esi]
    1354.   loc_004063B9: call [ecx+000000A4h]
    1355.   loc_004063BF: test eax, eax
    1356.   loc_004063C1: fclex
    1357.   loc_004063C3: jnl 4063D7h
    1358.   loc_004063C5: push 000000A4h
    1359.   loc_004063CA: push 004036A0h
    1360.   loc_004063CF: push esi
    1361.   loc_004063D0: push eax
    1362.   loc_004063D1: call MSVBVM60.DLL.__vbaHresultCheckObj
    1363.   loc_004063D7: lea ecx, var_50
    1364.   loc_004063DA: call MSVBVM60.DLL.__vbaFreeObj
    1365.   loc_004063E0: mov eax, [ebx]
    1366.   loc_004063E2: push ebx
    1367.   loc_004063E3: call [eax+00000338h]
    1368.   loc_004063E9: lea ecx, var_50
    1369.   loc_004063EC: push eax
    1370.   loc_004063ED: push ecx
    1371.   loc_004063EE: call [0040103Ch] ; Set (object)
    1372.   loc_004063F4: mov esi, eax
    1373.   loc_004063F6: lea eax, var_48
    1374.   loc_004063F9: push eax
    1375.   loc_004063FA: push esi
    1376.   loc_004063FB: mov edx, [esi]
    1377.   loc_004063FD: call [edx+000000A0h]
    1378.   loc_00406403: test eax, eax
    1379.   loc_00406405: fclex
    1380.   loc_00406407: jnl 40641Bh
    1381.   loc_00406409: push 000000A0h
    1382.   loc_0040640E: push 004036A0h
    1383.   loc_00406413: push esi
    1384.   loc_00406414: push eax
    1385.   loc_00406415: call MSVBVM60.DLL.__vbaHresultCheckObj
    1386.   loc_0040641B: mov ecx, [ebx]
    1387.   loc_0040641D: push ebx
    1388.   loc_0040641E: call [ecx+00000334h]
    1389.   loc_00406424: lea edx, var_54
    1390.   loc_00406427: push eax
    1391.   loc_00406428: push edx
    1392.   loc_00406429: call [0040103Ch] ; Set (object)
    1393.   loc_0040642F: mov esi, eax
    1394.   loc_00406431: lea ecx, var_4C
    1395.   loc_00406434: push ecx
    1396.   loc_00406435: push esi
    1397.   loc_00406436: mov eax, [esi]
    1398.   loc_00406438: call [eax+000000A0h]
    1399.   loc_0040643E: test eax, eax
    1400.   loc_00406440: fclex
    1401.   loc_00406442: jnl 406456h
    1402.   loc_00406444: push 000000A0h
    1403.   loc_00406449: push 004036A0h
    1404.   loc_0040644E: push esi
    1405.   loc_0040644F: push eax
    1406.   loc_00406450: call MSVBVM60.DLL.__vbaHresultCheckObj
    1407.   loc_00406456: mov edx, var_4C
    1408.   loc_00406459: push edx
    1409.   loc_0040645A: push 004036B4h
    1410.   loc_0040645F: call MSVBVM60.DLL.__vbaStrCmp
    1411.   loc_00406465: mov esi, eax
    1412.   loc_00406467: mov eax, var_48
    1413.   loc_0040646A: neg esi
    1414.   loc_0040646C: sbb esi, esi
    1415.   loc_0040646E: push eax
    1416.   loc_0040646F: neg esi
    1417.   loc_00406471: push 004036B4h
    1418.   loc_00406476: neg esi
    1419.   loc_00406478: call MSVBVM60.DLL.__vbaStrCmp
    1420.   loc_0040647E: neg eax
    1421.   loc_00406480: sbb eax, eax
    1422.   loc_00406482: lea ecx, var_4C
    1423.   loc_00406485: neg eax
    1424.   loc_00406487: lea edx, var_48
    1425.   loc_0040648A: push ecx
    1426.   loc_0040648B: neg eax
    1427.   loc_0040648D: push edx
    1428.   loc_0040648E: push 00000002h
    1429.   loc_00406490: and esi, eax
    1430.   loc_00406492: call MSVBVM60.DLL.__vbaFreeStrList
    1431.   loc_00406498: lea eax, var_54
    1432.   loc_0040649B: lea ecx, var_50
    1433.   loc_0040649E: push eax
    1434.   loc_0040649F: push ecx
    1435.   loc_004064A0: push 00000002h
    1436.   loc_004064A2: call MSVBVM60.DLL.__vbaFreeObjList
    1437.   loc_004064A8: add esp, 00000018h
    1438.   loc_004064AB: test si, si
    1439.   loc_004064AE: jz 4064ECh
    1440.   loc_004064B0: mov edx, [ebx]
    1441.   loc_004064B2: push ebx
    1442.   loc_004064B3: call [edx+0000032Ch]
    1443.   loc_004064B9: push eax
    1444.   loc_004064BA: lea eax, var_50
    1445.   loc_004064BD: push eax
    1446.   loc_004064BE: call [0040103Ch] ; Set (object)
    1447.   loc_004064C4: mov esi, eax
    1448.   loc_004064C6: push 00000000h
    1449.   loc_004064C8: push esi
    1450.   loc_004064C9: mov ecx, [esi]
    1451.   loc_004064CB: call [ecx+5Ch]
    1452.   loc_004064CE: test eax, eax
    1453.   loc_004064D0: fclex
    1454.   loc_004064D2: jnl 4064E3h
    1455.   loc_004064D4: push 0000005Ch
    1456.   loc_004064D6: push 004036B8h
    1457.   loc_004064DB: push esi
    1458.   loc_004064DC: push eax
    1459.   loc_004064DD: call MSVBVM60.DLL.__vbaHresultCheckObj
    1460.   loc_004064E3: lea ecx, var_50
    1461.   loc_004064E6: call MSVBVM60.DLL.__vbaFreeObj
    1462.   loc_004064EC: lea edx, var_2C
    1463.   loc_004064EF: push edx
    1464.   loc_004064F0: call MSVBVM60.DLL.__vbaI4Var
    1465.   loc_004064F6: push eax
    1466.   loc_004064F7: CloseHandle(%x1)
    1467.   loc_004064FC: call edi
    1468.   loc_004064FE: xor ebx, ebx
    1469.   loc_00406500: mov var_4, ebx
    1470.   loc_00406503: push 00406551h
    1471.   loc_00406508: jmp 40653Eh
    1472.   loc_0040650A: lea eax, var_4C
    1473.   loc_0040650D: lea ecx, var_48
    1474.   loc_00406510: push eax
    1475.   loc_00406511: push ecx
    1476.   loc_00406512: push 00000002h
    1477.   loc_00406514: call MSVBVM60.DLL.__vbaFreeStrList
    1478.   loc_0040651A: lea edx, var_54
    1479.   loc_0040651D: lea eax, var_50
    1480.   loc_00406520: push edx
    1481.   loc_00406521: push eax
    1482.   loc_00406522: push 00000002h
    1483.   loc_00406524: call MSVBVM60.DLL.__vbaFreeObjList
    1484.   loc_0040652A: lea ecx, var_74
    1485.   loc_0040652D: lea edx, var_64
    1486.   loc_00406530: push ecx
    1487.   loc_00406531: push edx
    1488.   loc_00406532: push 00000002h
    1489.   loc_00406534: call MSVBVM60.DLL.__vbaFreeVarList
    1490.   loc_0040653A: add esp, 00000024h
    1491.   loc_0040653D: ret
    1492. End Sub
    или самивб декомпилер лайт )

    еще добавлю что апи шпионом выяснилось тот есть гдето цикл с реад процесс мемори где эта зараза ищет некий адресс

    PS запостил на кряклабе подумал и запостил еще тут )))
     
    spa, 20 июл 2008
    #1