David no te rompas mas la cabeza, el ejecutable esta protegido con Themida (una herramienta comercial muy utilizada por los "Script Kiddies"). El programa, a simple vista, se copia a la carpeta windows y borra el archivo original, luego intenta conectarse a una ip (169.254.114.199), lo que no tiene mucho sentido siendo esta un dirección local, pero vete a saber que mas hace, lo que por supuesto no hace es extraer ningún código fuente.
Yo le aconsejaría a este chaval que se dejara de tonterías, o por lo menos que no lo intente en un foro de programación, donde hasta el mas tonto hace relojes