GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2015-02-22 21:38:29 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000031 WDC_WD5000BPVT-75HXZT3 rev.03.01A03 465,76GB Running: ctk8ubx7.exe; Driver: C:\Users\icar\AppData\Local\Temp\uwldqkog.sys ---- Kernel code sections - GMER 2.1 ---- .text C:\WINDOWS\System32\win32k.sys!W32pServiceTable fffff960001ed200 15 bytes [00, 65, F4, 01, 80, 7D, 6A, ...] .text C:\WINDOWS\System32\win32k.sys!W32pServiceTable + 17 fffff960001ed211 10 bytes [F3, FB, FF, 00, 17, C7, 00, ...] ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffee05728c0 7 bytes JMP 00007fffdfae0260 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNEL32.DLL!RegQueryValueExW 00007ffee05743d8 7 bytes JMP 00007fffdfae0298 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExA 00007ffee0621f20 7 bytes JMP 00007fffdfae0308 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExW 00007ffee06240b4 7 bytes JMP 00007fffdfae0340 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNEL32.DLL!RegDeleteValueW 00007ffee0624510 7 bytes JMP 00007fffdfae02d0 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffee064cea0 7 bytes JMP 00007fffdfae01f0 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffee064cf10 7 bytes JMP 00007fffdfae0228 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleW 00007ffedfaf299c 7 bytes JMP 00007fffdfae00d8 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNELBASE.dll!FreeLibrary 00007ffedfaf54c8 5 bytes JMP 00007fffdfae0180 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNELBASE.dll!LoadLibraryExW 00007ffedfaf55b0 5 bytes JMP 00007fffdfae0148 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffedfaf5e58 5 bytes JMP 00007fffdfae0110 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffedfb66200 5 bytes JMP 00007fffdfae01b8 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\USER32.dll!CreateWindowExW 00007ffee0287834 10 bytes JMP 00007fffdfae0420 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesA 00007ffee028b4d0 5 bytes JMP 00007fffdfae03b0 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesW 00007ffee028c6d8 5 bytes JMP 00007fffdfae03e8 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\USER32.dll!ChangeDisplaySettingsExW 00007ffee028c8fc 5 bytes JMP 00007fffdfae0458 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffee028e39c 9 bytes JMP 00007fffdfae0378 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffedfe41500 1 byte JMP 00007fffdfae0490 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2 00007ffedfe41502 6 bytes {JMP 0xffffffffffc9ef90} .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffedfe41750 8 bytes JMP 00007fffdfae04c8 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\System32\dxgi.dll!CreateDXGIFactory1 00007ffedd907a88 5 bytes JMP 00007fffdd7f0110 .text C:\WINDOWS\System32\dwm.exe[6280] C:\WINDOWS\System32\dxgi.dll!CreateDXGIFactory 00007ffedd914990 5 bytes JMP 00007fffdd7f00d8 .text C:\WINDOWS\system32\nvvsvc.exe[4828] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffee1e0169a 4 bytes [E0, E1, FE, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[4828] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffee1e016a2 4 bytes [E0, E1, FE, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[4828] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffee1e0181a 4 bytes [E0, E1, FE, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[4828] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffee1e01832 4 bytes [E0, E1, FE, 7F] .text C:\Windows\System32\igfxpers.exe[1240] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffee1e0169a 4 bytes [E0, E1, FE, 7F] .text C:\Windows\System32\igfxpers.exe[1240] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffee1e016a2 4 bytes [E0, E1, FE, 7F] .text C:\Windows\System32\igfxpers.exe[1240] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffee1e0181a 4 bytes [E0, E1, FE, 7F] .text C:\Windows\System32\igfxpers.exe[1240] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffee1e01832 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\Apoint.exe[3444] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffee1e0169a 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\Apoint.exe[3444] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffee1e016a2 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\Apoint.exe[3444] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffee1e0181a 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\Apoint.exe[3444] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffee1e01832 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\ApMsgFwd.exe[2020] C:\WINDOWS\system32\PSAPI.dll!GetModuleBaseNameA + 506 00007ffee1e0169a 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\ApMsgFwd.exe[2020] C:\WINDOWS\system32\PSAPI.dll!GetModuleBaseNameA + 514 00007ffee1e016a2 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\ApMsgFwd.exe[2020] C:\WINDOWS\system32\PSAPI.dll!QueryWorkingSet + 118 00007ffee1e0181a 4 bytes [E0, E1, FE, 7F] .text C:\Program Files\DellTPad\ApMsgFwd.exe[2020] C:\WINDOWS\system32\PSAPI.dll!QueryWorkingSet + 142 00007ffee1e01832 4 bytes [E0, E1, FE, 7F] ---- Threads - GMER 2.1 ---- Thread C:\WINDOWS\system32\csrss.exe [5392:5352] fffff9600098db90 ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ----