GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2014-02-17 20:55:09 Windows 5.1.2600 Dodatek Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-e WDC_WD800JD-00MSA1 rev.10.01E01 74,53GB Running: bzg6szpz.exe; Driver: C:\DOCUME~1\ADMINI~1.000\USTAWI~1\Temp\awtyypog.sys ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\Explorer.EXE[3600] SHELL32.dll!StrStrW 7C9CEF18 8 Bytes [E0, 10, 60, 19, 00, 11, 60, ...] {LOOPNZ 0x12; PUSHA ; SBB [EAX], EAX; ADC [EAX+0x19], ESP} ---- Devices - GMER 2.1 ---- AttachedDevice \Driver\Tcpip \Device\Ip arcawfp.sys AttachedDevice \Driver\Tcpip \Device\Tcp arcawfp.sys AttachedDevice \Driver\Tcpip \Device\Udp arcawfp.sys AttachedDevice \Driver\Tcpip \Device\RawIp arcawfp.sys AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\acpi\Parameters\WakeUp Reg HKLM\SYSTEM\CurrentControlSet\Services\acpi\Parameters\WakeUp@FixedEventMask 0x20 0x01 Reg HKLM\SYSTEM\CurrentControlSet\Services\acpi\Parameters\WakeUp@FixedEventStatus 0x00 0x04 Reg HKLM\SYSTEM\CurrentControlSet\Services\acpi\Parameters\WakeUp@GenericEventMask 0x00 0x00 0x00 0x20 Reg HKLM\SYSTEM\CurrentControlSet\Services\acpi\Parameters\WakeUp@GenericEventStatus 0x00 0x00 0x02 0x96 Reg HKLM\SYSTEM\ControlSet002\Services\bktqki@DisplayName Helper Shell Reg HKLM\SYSTEM\ControlSet002\Services\bktqki@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\bktqki@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\bktqki@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\bktqki@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\bktqki@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\bktqki@Description Dostarcza interfejs i model obiektowy w celu uzyskiwania dost?pu do informacji zarz?dzania o systemie operacyjnym, urz?dzeniach, aplikacjach i us?ugach. Je?li ta us?uga zostanie zatrzymana, wi?kszo?? oprogramowania opartego na systemie Windows nie b?dzie dzia?a? w?a?ciwie. Je?li ta us?uga zostanie wy??czona, uruchomienie us?ug od niej zale?nych nie powiedzie si?. Reg HKLM\SYSTEM\ControlSet002\Services\bktqki\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\bktqki\Parameters@ServiceDll C:\WINDOWS\system32\vymabl.dll Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm@DisplayName Server Installer Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm@Description Zapewnia trzy us?ugi zarz?dzania: Us?ug? bazy danych wykazu, kt?ra potwierdza podpisy plik?w systemu Windows, Us?ug? chronionego magazynu g??wnego, kt?ra dodaje i usuwa certyfikaty zaufanego g??wnego urz?du certyfikacji z tego komputera i Us?ug? kluczy, kt?ra pomaga zarejestrowa? ten komputer dla certyfikat?w. Je?li ta us?uga zostanie zatrzymana, te us?ugi zarz?dzania nie b?d? dzia?a? w?a?ciwie. Je?li ta us?uga zostanie wy??czona, wszelkie us?ugi jawnie od niej zale?ne przestan? si? uruchamia?. Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\dtcjwjm\Parameters@ServiceDll C:\WINDOWS\system32\vymabl.dll Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn@DisplayName Network Task Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn@Description Tworzy i zachowuje po??czenia sieciowe klient?w z serwerami zdalnymi. Je?li ta us?uga zostanie zatrzymana, po??czenia te stan? si? niedost?pne. Je?li ta us?uga zostanie wy??czona, wszelkie us?ugi jawnie od niej zale?ne przestan? si? uruchamia?. Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn\Parameters@ServiceDll C:\WINDOWS\system32\vymabl.dll Reg HKLM\SYSTEM\ControlSet002\Services\womwyn@DisplayName Universal Installer Reg HKLM\SYSTEM\ControlSet002\Services\womwyn@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\womwyn@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\womwyn@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\womwyn@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\womwyn@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\womwyn@Description Umo?liwia uruchamianie proces?w z u?yciem alternatywnych po?wiadcze?. Je?li ta us?uga zostanie zatrzymana, ten typ dost?pu poprzez logowanie stanie si? niedost?pny. Je?li ta us?uga zostanie wy??czona, wszelkie us?ugi jawnie od niej zale?ne przestan? si? uruchamia?. Reg HKLM\SYSTEM\ControlSet002\Services\womwyn\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\womwyn\Parameters@ServiceDll C:\WINDOWS\system32\vymabl.dll Reg HKLM\SYSTEM\ControlSet003\Services\bktqki@DisplayName Helper Shell Reg HKLM\SYSTEM\ControlSet003\Services\bktqki@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\bktqki@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\bktqki@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\bktqki@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\bktqki@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\bktqki@Description Dostarcza interfejs i model obiektowy w celu uzyskiwania dost?pu do informacji zarz?dzania o systemie operacyjnym, urz?dzeniach, aplikacjach i us?ugach. Je?li ta us?uga zostanie zatrzymana, wi?kszo?? oprogramowania opartego na systemie Windows nie b?dzie dzia?a? w?a?ciwie. Je?li ta us?uga zostanie wy??czona, uruchomienie us?ug od niej zale?nych nie powiedzie si?. Reg HKLM\SYSTEM\ControlSet003\Services\bktqki\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\bktqki\Parameters@ServiceDll C:\WINDOWS\system32\vymabl.dll Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm@DisplayName Server Installer Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm@Description Zapewnia trzy us?ugi zarz?dzania: Us?ug? bazy danych wykazu, kt?ra potwierdza podpisy plik?w systemu Windows, Us?ug? chronionego magazynu g??wnego, kt?ra dodaje i usuwa certyfikaty zaufanego g??wnego urz?du certyfikacji z tego komputera i Us?ug? kluczy, kt?ra pomaga zarejestrowa? ten komputer dla certyfikat?w. Je?li ta us?uga zostanie zatrzymana, te us?ugi zarz?dzania nie b?d? dzia?a? w?a?ciwie. Je?li ta us?uga zostanie wy??czona, wszelkie us?ugi jawnie od niej zale?ne przestan? si? uruchamia?. Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\dtcjwjm\Parameters@ServiceDll C:\WINDOWS\system32\vymabl.dll Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn@DisplayName Network Task Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn@Description Tworzy i zachowuje po??czenia sieciowe klient?w z serwerami zdalnymi. Je?li ta us?uga zostanie zatrzymana, po??czenia te stan? si? niedost?pne. Je?li ta us?uga zostanie wy??czona, wszelkie us?ugi jawnie od niej zale?ne przestan? si? uruchamia?. Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn\Parameters@ServiceDll C:\WINDOWS\system32\vymabl.dll ---- EOF - GMER 2.1 ----