GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2015-04-11 13:00:24 Windows 5.1.2600 Dodatek Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 WDC_WD3200BEVT-22ZCT0 rev.11.01A11 298,09GB Running: tuqrfd13.exe; Driver: C:\DOCUME~1\Mateusz\USTAWI~1\Temp\uwryrpow.sys ---- System - GMER 2.1 ---- SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwAssignProcessToJobObject [0xF41BAF20] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwCreateThread [0xF41BB260] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwDebugActiveProcess [0xF41BB520] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwDuplicateObject [0xF41BB040] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwLoadDriver [0xF41BB320] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwOpenProcess [0xF41BADC0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwOpenThread [0xF41BAE80] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwProtectVirtualMemory [0xF41BAFE0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwQueueApcThread [0xF41BB0A0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwReplaceKey [0xF41BB6E0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwRestoreKey [0xF41BB6A0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwSetContextThread [0xF41BAFA0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwSetInformationThread [0xF41BAF60] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwSetSecurityObject [0xF41BB0E0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwSetSystemInformation [0xF41BB2E0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwSuspendProcess [0xF41BAE20] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwSuspendThread [0xF41BAEA0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwSystemDebugControl [0xF41BB2A0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwTerminateProcess [0xF41BADE0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwTerminateThread [0xF41BAEE0] SSDT \SystemRoot\system32\DRIVERS\ehdrv.sys ZwWriteVirtualMemory [0xF41BB060] ---- Kernel code sections - GMER 2.1 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 307C 80504964 12 Bytes [20, AE, 1B, F4, A0, AE, 1B, ...] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6A2C360, 0x305987, 0xE8000020] ---- User code sections - GMER 2.1 ---- .text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1124] kernel32.dll!SetUnhandledExceptionFilter 7C844EE5 4 Bytes [C2, 04, 00, 00] .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!NtCreateFile 7C90D0AE 5 Bytes JMP 016E6E2C C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!NtFlushBuffersFile 7C90D32E 5 Bytes JMP 016E6CC7 C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!NtQueryFullAttributesFile 7C90D7AE 5 Bytes JMP 016E6EAD C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!NtReadFile 7C90D9CE 5 Bytes JMP 016E6BA3 C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!NtReadFileScatter 7C90D9DE 5 Bytes JMP 016E6BEC C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!NtWriteFile 7C90DF7E 5 Bytes JMP 016E6C35 C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!NtWriteFileGather 7C90DF8E 5 Bytes JMP 016E6C7E C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] ntdll.dll!LdrLoadDll 7C91632D 5 Bytes JMP 10001F42 C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\mozglue.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] kernel32.dll!lstrlenW + 43 7C809AEC 7 Bytes JMP 016AEE7B C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] kernel32.dll!MapViewOfFileEx + 6A 7C80B9A0 7 Bytes JMP 016AEEC3 C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] kernel32.dll!ValidateLocale + B648 7C844EE0 7 Bytes JMP 0268E562 C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] USER32.dll!GetWindowInfo 7E37C49C 5 Bytes JMP 0206662C C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll .text C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe[2152] GDI32.dll!SetDIBitsToDevice + 20A 77F19E14 7 Bytes JMP 016AEEEA C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\GG\Application\xulrunner\xul.dll ---- Devices - GMER 2.1 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\001986003c65 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001986003c65 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001986003c65 (not active ControlSet) Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001986003c65