GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2014-12-30 03:57:13 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002f ST500LM012_HN-M500MBB rev.2AR10002 465,76GB Running: 1rnt9cq5.exe; Driver: C:\Users\ABINK_~1\AppData\Local\Temp\pxrdypoc.sys ---- Kernel code sections - GMER 2.1 ---- .text C:\WINDOWS\System32\win32k.sys!W32pServiceTable fffff960000bd200 15 bytes [00, 28, F6, 01, 80, 1C, 6C, ...] .text C:\WINDOWS\System32\win32k.sys!W32pServiceTable + 16 fffff960000bd210 11 bytes [00, 0E, FC, FF, 00, 05, C4, ...] ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffdcd5628c0 7 bytes JMP 00007ffecd0902d0 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!RegQueryValueExW 00007ffdcd5643d8 7 bytes JMP 00007ffecd090308 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExA 00007ffdcd611f20 7 bytes JMP 00007ffecd090378 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExW 00007ffdcd6140b4 7 bytes JMP 00007ffecd0903b0 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!RegDeleteValueW 00007ffdcd614510 7 bytes JMP 00007ffecd090340 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleFileNameExW 00007ffdcd614af0 7 bytes JMP 00007ffecd090260 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffdcd63cea0 7 bytes JMP 00007ffecd090228 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffdcd63cf10 7 bytes JMP 00007ffecd090298 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleW 00007ffdcd0a299c 7 bytes JMP 00007ffecd0900d8 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNELBASE.dll!FreeLibrary 00007ffdcd0a54c8 5 bytes JMP 00007ffecd090180 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNELBASE.dll!LoadLibraryExW 00007ffdcd0a55b0 5 bytes JMP 00007ffecd090148 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffdcd0a5e58 5 bytes JMP 00007ffecd090110 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\USER32.dll!CreateWindowExW 00007ffdcd907834 10 bytes JMP 00007ffecd090490 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesA 00007ffdcd90b4d0 5 bytes JMP 00007ffecd090420 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesW 00007ffdcd90c6d8 5 bytes JMP 00007ffecd090458 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffdcd90e39c 9 bytes JMP 00007ffecd0903e8 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffdcdf61500 8 bytes JMP 00007ffecd0901b8 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffdcdf61750 8 bytes JMP 00007ffecd0901f0 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\dxgi.dll!CreateDXGIFactory1 00007ffdcae67a88 5 bytes JMP 00007ffecacb0110 .text C:\WINDOWS\system32\dwm.exe[460] C:\WINDOWS\system32\dxgi.dll!CreateDXGIFactory 00007ffdcae74990 5 bytes JMP 00007ffecacb00d8 .text C:\WINDOWS\system32\nvvsvc.exe[1140] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffdcfa7169a 4 bytes [A7, CF, FD, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[1140] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffdcfa716a2 4 bytes [A7, CF, FD, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[1140] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffdcfa7181a 4 bytes [A7, CF, FD, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[1140] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffdcfa71832 4 bytes [A7, CF, FD, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1664] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffdcfa7169a 4 bytes [A7, CF, FD, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1664] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffdcfa716a2 4 bytes [A7, CF, FD, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1664] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffdcfa7181a 4 bytes [A7, CF, FD, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1664] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffdcfa71832 4 bytes [A7, CF, FD, 7F] .text C:\Windows\System32\igfxpers.exe[4728] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffdcfa7169a 4 bytes [A7, CF, FD, 7F] .text C:\Windows\System32\igfxpers.exe[4728] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffdcfa716a2 4 bytes [A7, CF, FD, 7F] .text C:\Windows\System32\igfxpers.exe[4728] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffdcfa7181a 4 bytes [A7, CF, FD, 7F] .text C:\Windows\System32\igfxpers.exe[4728] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffdcfa71832 4 bytes [A7, CF, FD, 7F] ---- Threads - GMER 2.1 ---- Thread C:\WINDOWS\system32\csrss.exe [932:956] fffff960008e0b90 Thread C:\WINDOWS\system32\svchost.exe [1696:3324] 00007ffdc2b31584 Thread C:\WINDOWS\system32\svchost.exe [1696:3388] 00007ffdc2ad1b40 Thread C:\WINDOWS\system32\svchost.exe [1696:3904] 00007ffdc27f4608 Thread C:\WINDOWS\system32\svchost.exe [1696:1372] 00007ffdc27f1040 Thread C:\Windows\System32\SettingSyncHost.exe [5676:3920] 00007ffdc6aa6da0 ---- Processes - GMER 2.1 ---- Library C:\Users\abink_000\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll (*** suspicious ***) @ C:\WINDOWS\Explorer.EXE [3740] (GG drive menu/GG Network S.A.)(2013-09-16 14:56:13) 000000005ff80000 ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ----