GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2014-09-29 19:23:39 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002f rev. 0,00MB Running: 2x2qo259.exe; Driver: C:\Users\J\AppData\Local\Temp\fxldypow.sys ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\system32\wininit.exe[748] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\winlogon.exe[776] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\services.exe[836] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\lsass.exe[844] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\svchost.exe[916] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\svchost.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\atiesrxx.exe[352] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\atiesrxx.exe[352] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffd5bf8169a 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\atiesrxx.exe[352] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffd5bf816a2 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\atiesrxx.exe[352] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffd5bf8181a 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\atiesrxx.exe[352] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffd5bf81832 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\System32\svchost.exe[456] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\dwm.exe[464] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\svchost.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\svchost.exe[1016] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\System32\svchost.exe[1068] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\atieclxx.exe[1104] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\atieclxx.exe[1104] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffd5bf8169a 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\atieclxx.exe[1104] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffd5bf816a2 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\atieclxx.exe[1104] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffd5bf8181a 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\atieclxx.exe[1104] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffd5bf81832 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\svchost.exe[1180] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\System32\spoolsv.exe[1568] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\System32\spoolsv.exe[1568] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffd5bf8169a 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1568] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffd5bf816a2 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1568] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffd5bf8181a 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1568] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffd5bf81832 4 bytes [F8, 5B, FD, 7F] .text C:\WINDOWS\system32\svchost.exe[1608] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Program Files (x86)\Bluetooth Suite\adminservice.exe[1812] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\dashost.exe[1948] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\taskhostex.exe[1980] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\Explorer.EXE[1420] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\windows\system32\HPSIsvc.exe[2140] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Program Files\Intel\iCLS Client\HeciServer.exe[2172] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\svchost.exe[2328] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\svchost.exe[2344] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3160] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\SearchIndexer.exe[3388] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3432] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\svchost.exe[3592] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Windows\System32\igfxtray.exe[4012] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Windows\System32\hkcmd.exe[4068] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\igfxsrvc.exe[3144] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Windows\System32\igfxpers.exe[2964] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Windows\System32\igfxpers.exe[2964] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffd5bf8169a 4 bytes [F8, 5B, FD, 7F] .text C:\Windows\System32\igfxpers.exe[2964] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffd5bf816a2 4 bytes [F8, 5B, FD, 7F] .text C:\Windows\System32\igfxpers.exe[2964] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffd5bf8181a 4 bytes [F8, 5B, FD, 7F] .text C:\Windows\System32\igfxpers.exe[2964] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffd5bf81832 4 bytes [F8, 5B, FD, 7F] .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[3680] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Program Files (x86)\Bluetooth Suite\BtTray.exe[3808] C:\WINDOWS\system32\KERNEL32.dll!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe[3912] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe[3912] C:\WINDOWS\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ffd465f1f6a 4 bytes [5F, 46, FD, 7F] .text C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe[3912] C:\WINDOWS\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ffd465f1f82 4 bytes [5F, 46, FD, 7F] .text C:\WINDOWS\system32\igfxext.exe[3948] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\AUDIODG.EXE[2184] C:\WINDOWS\SYSTEM32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] .text C:\WINDOWS\system32\wbem\unsecapp.exe[3340] C:\WINDOWS\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffd5c52553d 1 byte [62] ---- Threads - GMER 2.1 ---- Thread C:\WINDOWS\system32\csrss.exe [740:1048] fffff960008aeb90 ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code Disk \Device\Harddisk0\DR0 sector 0: rootkit-like behavior ---- EOF - GMER 2.1 ----