GMER 2.2.19882 - http://www.gmer.net Rootkit scan 2016-04-21 22:10:04 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ADATA_SP550 rev.O1203AB 223,57GB Running: n55v1bx1.exe; Driver: C:\Users\User\AppData\Local\Temp\pgddqpoc.sys ---- User code sections - GMER 2.2 ---- .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 0000000076dd1401 2 bytes JMP 755fb263 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 0000000076dd1419 2 bytes JMP 755fb38e C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 0000000076dd1431 2 bytes JMP 756790f1 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 0000000076dd144a 2 bytes CALL 755d48ad C:\Windows\syswow64\kernel32.dll .text ... * 9 .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 0000000076dd14dd 2 bytes JMP 756789ea C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 0000000076dd14f5 2 bytes JMP 75678bc0 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 0000000076dd150d 2 bytes JMP 756788e0 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 0000000076dd1525 2 bytes JMP 75678caa C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 0000000076dd153d 2 bytes JMP 755efce8 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 0000000076dd1555 2 bytes JMP 755f6937 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 0000000076dd156d 2 bytes JMP 756791a9 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 0000000076dd1585 2 bytes JMP 75678d0a C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 0000000076dd159d 2 bytes JMP 756788a4 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 0000000076dd15b5 2 bytes JMP 755efd81 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 0000000076dd15cd 2 bytes JMP 755fb324 C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 0000000076dd16b2 2 bytes JMP 7567906c C:\Windows\syswow64\kernel32.dll .text C:\Windows\SysWOW64\rundll32.exe[3624] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 0000000076dd16bd 2 bytes JMP 75678839 C:\Windows\syswow64\kernel32.dll ---- Files - GMER 2.2 ---- File C:\Users\User\AppData\Local\Mozilla\Firefox\Profiles\btshkdmq.default\cache2\entries\88A6A2B1B394B7D8F5BFE838EC4ED4CFAF1D014E 0 bytes ---- EOF - GMER 2.2 ----