GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-05-07 23:27:46 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.BBFO Running: 4nh1ued6.exe; Driver: C:\DOCUME~1\Eryk\USTAWI~1\Temp\ufldqpow.sys ---- System - GMER 1.0.15 ---- SSDT F7D65804 ZwClose SSDT F7D657BE ZwCreateKey SSDT F7D6580E ZwCreateSection SSDT F7D657B4 ZwCreateThread SSDT F7D657C3 ZwDeleteKey SSDT F7D657CD ZwDeleteValueKey SSDT F7D657FF ZwDuplicateObject SSDT F7D657D2 ZwLoadKey SSDT F7D657A0 ZwOpenProcess SSDT F7D657A5 ZwOpenThread SSDT F7D65827 ZwQueryValueKey SSDT F7D657DC ZwReplaceKey SSDT F7D65818 ZwRequestWaitReplyPort SSDT F7D657D7 ZwRestoreKey SSDT F7D65813 ZwSetContextThread SSDT F7D6581D ZwSetSecurityObject SSDT F7D657C8 ZwSetValueKey SSDT F7D65822 ZwSystemDebugControl SSDT F7D657AF ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF67DA360, 0x2217AD, 0xE8000020] ? D:\Programy\Nowy folder\SASKUTIL.SYS Nie można odnaleźć określonego pliku. ! ---- User code sections - GMER 1.0.15 ---- .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtCreateFile + 6 7C90D096 4 Bytes [28, 00, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtCreateFile + B 7C90D09B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtMapViewOfSection + 6 7C90D506 1 Byte [28] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtMapViewOfSection + 6 7C90D506 4 Bytes [28, 03, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtMapViewOfSection + B 7C90D50B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenFile + 6 7C90D586 4 Bytes [68, 00, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenFile + B 7C90D58B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenProcess + 6 7C90D5E6 4 Bytes [A8, 01, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenProcess + B 7C90D5EB 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenProcessToken + 6 7C90D5F6 4 Bytes CALL 7B910CFC .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenProcessToken + B 7C90D5FB 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenProcessTokenEx + 6 7C90D606 4 Bytes [A8, 02, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenProcessTokenEx + B 7C90D60B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenThread + 6 7C90D646 4 Bytes [68, 01, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenThread + B 7C90D64B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenThreadToken + 6 7C90D656 4 Bytes [68, 02, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenThreadToken + B 7C90D65B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenThreadTokenEx + 6 7C90D666 4 Bytes CALL 7B910D6D .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtOpenThreadTokenEx + B 7C90D66B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtQueryAttributesFile + 6 7C90D6F6 4 Bytes [A8, 00, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtQueryAttributesFile + B 7C90D6FB 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtQueryFullAttributesFile + 6 7C90D796 4 Bytes CALL 7B910E9B .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtQueryFullAttributesFile + B 7C90D79B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtSetInformationFile + 6 7C90DC46 4 Bytes [28, 01, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtSetInformationFile + B 7C90DC4B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtSetInformationThread + 6 7C90DC96 4 Bytes [28, 02, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtSetInformationThread + B 7C90DC9B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtUnmapViewOfSection + 6 7C90DEF6 1 Byte [68] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtUnmapViewOfSection + 6 7C90DEF6 4 Bytes [68, 03, 37, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3316] ntdll.dll!NtUnmapViewOfSection + B 7C90DEFB 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtCreateFile + 6 7C90D096 4 Bytes [28, 00, 28, 00] {SUB [EAX], AL; SUB [EAX], AL} .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtCreateFile + B 7C90D09B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtMapViewOfSection + 6 7C90D506 1 Byte [28] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtMapViewOfSection + 6 7C90D506 4 Bytes [28, 03, 28, 00] {SUB [EBX], AL; SUB [EAX], AL} .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtMapViewOfSection + B 7C90D50B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenFile + 6 7C90D586 4 Bytes [68, 00, 28, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenFile + B 7C90D58B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenProcess + 6 7C90D5E6 4 Bytes [A8, 01, 28, 00] {TEST AL, 0x1; SUB [EAX], AL} .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenProcess + B 7C90D5EB 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenProcessToken + 6 7C90D5F6 4 Bytes CALL 7B90FDFC .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenProcessToken + B 7C90D5FB 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenProcessTokenEx + 6 7C90D606 4 Bytes [A8, 02, 28, 00] {TEST AL, 0x2; SUB [EAX], AL} .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenProcessTokenEx + B 7C90D60B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenThread + 6 7C90D646 4 Bytes [68, 01, 28, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenThread + B 7C90D64B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenThreadToken + 6 7C90D656 4 Bytes [68, 02, 28, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenThreadToken + B 7C90D65B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenThreadTokenEx + 6 7C90D666 4 Bytes CALL 7B90FE6D .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtOpenThreadTokenEx + B 7C90D66B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtQueryAttributesFile + 6 7C90D6F6 4 Bytes [A8, 00, 28, 00] {TEST AL, 0x0; SUB [EAX], AL} .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtQueryAttributesFile + B 7C90D6FB 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtQueryFullAttributesFile + 6 7C90D796 4 Bytes CALL 7B90FF9B .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtQueryFullAttributesFile + B 7C90D79B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtSetInformationFile + 6 7C90DC46 4 Bytes [28, 01, 28, 00] {SUB [ECX], AL; SUB [EAX], AL} .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtSetInformationFile + B 7C90DC4B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtSetInformationThread + 6 7C90DC96 4 Bytes [28, 02, 28, 00] {SUB [EDX], AL; SUB [EAX], AL} .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtSetInformationThread + B 7C90DC9B 1 Byte [E2] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtUnmapViewOfSection + 6 7C90DEF6 1 Byte [68] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtUnmapViewOfSection + 6 7C90DEF6 4 Bytes [68, 03, 28, 00] .text C:\Documents and Settings\Eryk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe[3760] ntdll.dll!NtUnmapViewOfSection + B 7C90DEFB 1 Byte [E2] ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Processes - GMER 1.0.15 ---- Process C:\WINDOWS\system32\igfxpm86.exe (*** hidden *** ) 596 Process C:\WINDOWS\system32\wmpkb86.exe (*** hidden *** ) 640 Process C:\DOCUME~1\Eryk\USTAWI~1\Temp\tmp147.exe (*** hidden *** ) 2340 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations ???3?????n??? ???????"???????????!?$????????^???&???????????????????????\Device\{8FB9F3CF-E37F-49C5-AA45-57861386D3CA}??????\Device\RasPppoe_{AD4940C5-5D54-4906-BD01-107F608B845F}?\Device\RasPppoe_{43134E5D-B1A5-4D67-A676-6754ECCCB66E}?\Device\RasPppoe_{A033A3F6-849A-468B-B4DC-E35A784B9A5F}?????? ???????"?????3?????!??????????N?????4"?"??? N??3???{??????eD??{AD4940C5-5D54-4906-BD01-107F608B845F}?F7A?????"0??"1??"2??03??34???????????? ???????3??????????? ??????????h??????A78??? h??3??????????o?????h?????8???@???????@???????H??????????????????????????????3??????v??3???????????????3???"?"?"?"?"?"?"?0?0?0?0?0????Przycisk ACPI Fixed Feature??????????3???3??????? ?????????????"????????????????????????????????????????? ???????3???????????"??????????