GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2014-12-14 17:12:23 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002e ST1000LM024_HN-M101MBB rev.2AR10001 931,51GB Running: hv4yitfh.exe; Driver: C:\Users\KRATOS~1\AppData\Local\Temp\fwtdqpow.sys ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffa74c428c0 7 bytes JMP 00007ffb726302d0 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!RegQueryValueExW 00007ffa74c443d8 7 bytes JMP 00007ffb72630308 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExA 00007ffa74cf1f20 7 bytes JMP 00007ffb72630378 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExW 00007ffa74cf40b4 7 bytes JMP 00007ffb726303b0 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!RegDeleteValueW 00007ffa74cf4510 7 bytes JMP 00007ffb72630340 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleFileNameExW 00007ffa74cf4af0 7 bytes JMP 00007ffb72630260 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffa74d1cea0 7 bytes JMP 00007ffb72630228 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffa74d1cf10 7 bytes JMP 00007ffb72630298 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleW 00007ffa7269299c 7 bytes JMP 00007ffb726300d8 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNELBASE.dll!FreeLibrary 00007ffa726954c8 5 bytes JMP 00007ffb72630180 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNELBASE.dll!LoadLibraryExW 00007ffa726955b0 5 bytes JMP 00007ffb72630148 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffa72695e58 5 bytes JMP 00007ffb72630110 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\USER32.dll!CreateWindowExW 00007ffa74f27834 10 bytes JMP 00007ffb72630490 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesA 00007ffa74f2b4d0 5 bytes JMP 00007ffb72630420 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesW 00007ffa74f2c6d8 5 bytes JMP 00007ffb72630458 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffa74f2e39c 9 bytes JMP 00007ffb726303e8 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffa742d1500 8 bytes JMP 00007ffb726301b8 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffa742d1750 8 bytes JMP 00007ffb726301f0 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\dxgi.dll!CreateDXGIFactory1 00007ffa70667a88 5 bytes JMP 00007ffb70650110 .text C:\WINDOWS\system32\dwm.exe[952] C:\WINDOWS\system32\dxgi.dll!CreateDXGIFactory 00007ffa70674990 5 bytes JMP 00007ffb706500d8 .text C:\WINDOWS\system32\nvvsvc.exe[1056] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffa747a169a 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[1056] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffa747a16a2 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[1056] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffa747a181a 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[1056] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffa747a1832 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\WLANExt.exe[1556] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffa747a169a 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\WLANExt.exe[1556] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffa747a16a2 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\WLANExt.exe[1556] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffa747a181a 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\WLANExt.exe[1556] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffa747a1832 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\EvtEng.exe[1924] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffa747a169a 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\EvtEng.exe[1924] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffa747a16a2 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\EvtEng.exe[1924] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffa747a181a 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\EvtEng.exe[1924] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffa747a1832 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\EvtEng.exe[1924] C:\WINDOWS\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ffa68ba1f6a 4 bytes [BA, 68, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\EvtEng.exe[1924] C:\WINDOWS\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ffa68ba1f82 4 bytes [BA, 68, FA, 7F] .text C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe[2008] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffa747a169a 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe[2008] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffa747a16a2 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe[2008] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffa747a181a 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe[2008] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffa747a1832 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe[2316] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffa747a169a 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe[2316] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffa747a16a2 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe[2316] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffa747a181a 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe[2316] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffa747a1832 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3004] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffa747a169a 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3004] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffa747a16a2 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3004] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffa747a181a 4 bytes [7A, 74, FA, 7F] .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3004] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffa747a1832 4 bytes [7A, 74, FA, 7F] .text C:\Windows\System32\igfxpers.exe[3380] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffa747a169a 4 bytes [7A, 74, FA, 7F] .text C:\Windows\System32\igfxpers.exe[3380] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffa747a16a2 4 bytes [7A, 74, FA, 7F] .text C:\Windows\System32\igfxpers.exe[3380] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffa747a181a 4 bytes [7A, 74, FA, 7F] .text C:\Windows\System32\igfxpers.exe[3380] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffa747a1832 4 bytes [7A, 74, FA, 7F] .text C:\Program Files\Windows Media Player\wmpnetwk.exe[1700] C:\WINDOWS\SYSTEM32\WSOCK32.dll!setsockopt + 194 00007ffa68ba1f6a 4 bytes [BA, 68, FA, 7F] .text C:\Program Files\Windows Media Player\wmpnetwk.exe[1700] C:\WINDOWS\SYSTEM32\WSOCK32.dll!setsockopt + 218 00007ffa68ba1f82 4 bytes [BA, 68, FA, 7F] ---- Threads - GMER 2.1 ---- Thread C:\WINDOWS\system32\csrss.exe [840:856] fffff960008b1b90 Thread C:\WINDOWS\SYSTEM32\ntdll.dll [3428:3432] 00000000012c1c94 Thread C:\WINDOWS\SYSTEM32\ntdll.dll [3428:3700] 00000000675228a5 Thread C:\WINDOWS\SYSTEM32\ntdll.dll [3428:3708] 00000000675228a5 Thread C:\WINDOWS\SYSTEM32\ntdll.dll [3428:3716] 00000000675228a5 Thread C:\WINDOWS\SYSTEM32\ntdll.dll [3428:3724] 00000000746e59d1 ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ----