GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2015-02-18 19:36:21 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000034 ST750LM022_HN-M750MBB rev.2BA30001 698,64GB Running: 128hk0e4.exe; Driver: C:\Users\Ja\AppData\Local\Temp\pgddqpoc.sys ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffead7d28c0 7 bytes JMP 00007fffab930260 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNEL32.DLL!RegQueryValueExW 00007ffead7d43d8 7 bytes JMP 00007fffab930298 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExA 00007ffead881f20 7 bytes JMP 00007fffab930308 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNEL32.DLL!RegSetValueExW 00007ffead8840b4 7 bytes JMP 00007fffab930340 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNEL32.DLL!RegDeleteValueW 00007ffead884510 7 bytes JMP 00007fffab9302d0 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffead8acea0 7 bytes JMP 00007fffab9301f0 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffead8acf10 7 bytes JMP 00007fffab930228 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleW 00007ffeab94299c 7 bytes JMP 00007fffab9300d8 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNELBASE.dll!FreeLibrary 00007ffeab9454c8 5 bytes JMP 00007fffab930180 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNELBASE.dll!LoadLibraryExW 00007ffeab9455b0 5 bytes JMP 00007fffab930148 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffeab945e58 5 bytes JMP 00007fffab930110 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffeab9b6200 5 bytes JMP 00007fffab9301b8 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\USER32.dll!CreateWindowExW 00007ffeabbf7834 10 bytes JMP 00007fffab930420 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesA 00007ffeabbfb4d0 5 bytes JMP 00007fffab9303b0 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\USER32.dll!EnumDisplayDevicesW 00007ffeabbfc6d8 5 bytes JMP 00007fffab9303e8 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\USER32.dll!ChangeDisplaySettingsExW 00007ffeabbfc8fc 5 bytes JMP 00007fffab930458 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffeabbfe39c 9 bytes JMP 00007fffab930378 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffeabe41500 1 byte JMP 00007fffab930490 .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2 00007ffeabe41502 6 bytes {JMP 0xffffffffffaeef90} .text C:\WINDOWS\system32\dwm.exe[968] C:\WINDOWS\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffeabe41750 8 bytes JMP 00007fffab9304c8 .text C:\WINDOWS\system32\nvvsvc.exe[988] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffeabd8169a 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[988] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffeabd816a2 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[988] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffeabd8181a 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\system32\nvvsvc.exe[988] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffeabd81832 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1424] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffeabd8169a 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1424] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffeabd816a2 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1424] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffeabd8181a 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\System32\spoolsv.exe[1424] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffeabd81832 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\system32\DptfPolicyLpmService.exe[1940] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffeabd8169a 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\system32\DptfPolicyLpmService.exe[1940] C:\WINDOWS\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffeabd816a2 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\system32\DptfPolicyLpmService.exe[1940] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffeabd8181a 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\system32\DptfPolicyLpmService.exe[1940] C:\WINDOWS\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffeabd81832 4 bytes [D8, AB, FE, 7F] .text C:\WINDOWS\System32\svchost.exe[1996] c:\windows\system32\WSOCK32.dll!setsockopt + 194 00007ffe9cc81f6a 4 bytes [C8, 9C, FE, 7F] .text C:\WINDOWS\System32\svchost.exe[1996] c:\windows\system32\WSOCK32.dll!setsockopt + 218 00007ffe9cc81f82 4 bytes [C8, 9C, FE, 7F] .text C:\WINDOWS\System32\svchost.exe[1184] c:\windows\system32\WSOCK32.dll!setsockopt + 194 00007ffe9cc81f6a 4 bytes [C8, 9C, FE, 7F] .text C:\WINDOWS\System32\svchost.exe[1184] c:\windows\system32\WSOCK32.dll!setsockopt + 218 00007ffe9cc81f82 4 bytes [C8, 9C, FE, 7F] .text C:\Program Files\Windows Defender\MsMpEng.exe[2160] C:\WINDOWS\system32\psapi.dll!GetModuleBaseNameA + 506 00007ffeabd8169a 4 bytes [D8, AB, FE, 7F] .text C:\Program Files\Windows Defender\MsMpEng.exe[2160] C:\WINDOWS\system32\psapi.dll!GetModuleBaseNameA + 514 00007ffeabd816a2 4 bytes [D8, AB, FE, 7F] .text C:\Program Files\Windows Defender\MsMpEng.exe[2160] C:\WINDOWS\system32\psapi.dll!QueryWorkingSet + 118 00007ffeabd8181a 4 bytes [D8, AB, FE, 7F] .text C:\Program Files\Windows Defender\MsMpEng.exe[2160] C:\WINDOWS\system32\psapi.dll!QueryWorkingSet + 142 00007ffeabd81832 4 bytes [D8, AB, FE, 7F] ---- Threads - GMER 2.1 ---- Thread C:\WINDOWS\system32\csrss.exe [624:648] fffff96000870b90 ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ----