GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-02-29 08:31:20 Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 WDC_WD5000AAKS-00V1A0 rev.05.01D05 Running: dm5ulfvz.exe; Driver: C:\Users\User\AppData\Local\Temp\aftcaaob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwAdjustPrivilegesToken [0x9C71EE36] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwAlpcConnectPort [0x9C721074] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwAlpcCreatePort [0x9C7212EE] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwAlpcSendWaitReceivePort [0x9C721564] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwClose [0x9C71F74A] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwConnectPort [0x9C72057E] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateEvent [0x9C720AC8] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateFile [0x9C71FA26] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateMutant [0x9C7209AE] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateNamedPipeFile [0x9C71EA24] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreatePort [0x9C720882] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateSection [0x9C71EBCC] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateSemaphore [0x9C720BE8] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateThread [0x9C71F3D0] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateThreadEx [0x9C71F4CE] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateUserProcess [0x9C7217AE] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwCreateWaitablePort [0x9C720918] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwDebugActiveProcess [0x9C7222D6] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwDeviceIoControlFile [0x9C71FEA8] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwDuplicateObject [0x9C7234E4] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwFsControlFile [0x9C71FCB6] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwLoadDriver [0x9C7223C8] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwMapViewOfSection [0x9C722B30] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwOpenEvent [0x9C720B5E] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwOpenFile [0x9C71F7CC] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwOpenMutant [0x9C720A3E] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwOpenProcess [0x9C71F074] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwOpenSection [0x9C7228CA] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwOpenSemaphore [0x9C720C7E] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwOpenThread [0x9C71EF64] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwQueryDirectoryObject [0x9C721868] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwQuerySection [0x9C722E6A] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwQueueApcThread [0x9C72275C] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwReplaceKey [0x9C71D6DE] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwReplyPort [0x9C720FE2] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwReplyWaitReceivePort [0x9C720EA8] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwRequestWaitReplyPort [0x9C722070] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwRestoreKey [0x9C71DA56] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwResumeThread [0x9C723386] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSaveKey [0x9C71D676] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSecureConnectPort [0x9C7202C4] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSetContextThread [0x9C71F5EC] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSetInformationToken [0x9C72190A] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSetSecurityObject [0x9C722566] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSetSystemInformation [0x9C722FBA] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSuspendProcess [0x9C7230AC] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSuspendThread [0x9C7231E6] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwSystemDebugControl [0x9C7221FA] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwTerminateProcess [0x9C71F21A] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwTerminateThread [0x9C71F170] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwUnmapViewOfSection [0x9C722D0E] SSDT \SystemRoot\system32\DRIVERS\7810284drv.sys ZwWriteVirtualMemory [0x9C71F306] ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82E89579 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82EADF52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} .text ntkrnlpa.exe!RtlSidHashLookup + 220 82EB5720 4 Bytes [36, EE, 71, 9C] .text ntkrnlpa.exe!RtlSidHashLookup + 248 82EB5748 8 Bytes [74, 10, 72, 9C, EE, 12, 72, ...] {JZ 0x12; JB 0xffffffffffffffa0; OUT DX, AL ; ADC DH, [EDX-0x64]} .text ntkrnlpa.exe!RtlSidHashLookup + 28C 82EB578C 4 Bytes [64, 15, 72, 9C] .text ntkrnlpa.exe!RtlSidHashLookup + 2B8 82EB57B8 4 Bytes [4A, F7, 71, 9C] {DEC EDX; DIV DWORD [ECX-0x64]} .text ntkrnlpa.exe!RtlSidHashLookup + 2DC 82EB57DC 4 Bytes [7E, 05, 72, 9C] {JLE 0x7; JB 0xffffffffffffffa0} .text ... ? system32\DRIVERS\60723257.sys System nie może odnaleźć określonej ścieżki. ! ? system32\DRIVERS\7810284drv.sys System nie może odnaleźć określonej ścieżki. ! ? system32\DRIVERS\61046861.sys System nie może odnaleźć określonej ścieżki. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\ESET\ESET Smart Security\ekrn.exe[1852] kernel32.dll!SetUnhandledExceptionFilter 75A73142 4 Bytes [C2, 04, 00, 00] .text C:\Program Files\Mozilla Firefox\firefox.exe[3932] ntdll.dll!LdrLoadDll 770CF585 5 Bytes JMP 5B175B60 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[3992] ntdll.dll!LdrLoadDll 770CF585 5 Bytes JMP 5B175B60 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) ---- Devices - GMER 1.0.15 ---- Device \Driver\ACPI_HAL \Device\00000046 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) ---- EOF - GMER 1.0.15 ----