GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2015-05-25 19:41:57 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\0000002d ST1000LM014-SSHD-8GB rev.LVD3 931,51GB Running: 9pkpq9e2.exe; Driver: C:\Users\User\AppData\Local\Temp\fxlyrpog.sys ---- Kernel code sections - GMER 2.1 ---- .text C:\WINDOWS\System32\win32k.sys!W32pServiceTable fffff96000142900 15 bytes [00, 57, F4, 01, 40, 8F, 6E, ...] .text C:\WINDOWS\System32\win32k.sys!W32pServiceTable + 16 fffff96000142910 11 bytes [00, 41, FC, FF, 00, 79, C7, ...] ---- User code sections - GMER 2.1 ---- .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffa74f51270 5 bytes JMP 00007ffaf5080460 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtQueryObject 00007ffa74f512c0 1 byte JMP 00007ffaf5080450 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtQueryObject + 2 00007ffa74f512c2 3 bytes {JMP 0xffffffff8012f190} .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffa74f51420 5 bytes JMP 00007ffaf5080370 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffa74f51470 5 bytes JMP 00007ffaf5080470 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffa74f51480 5 bytes JMP 00007ffaf50803e0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenSection 00007ffa74f51530 5 bytes JMP 00007ffaf5080320 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffa74f51560 5 bytes JMP 00007ffaf50803b0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffa74f51580 5 bytes JMP 00007ffaf5080390 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffa74f515c0 5 bytes JMP 00007ffaf50802e0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffa74f51640 1 byte JMP 00007ffaf50802d0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateEvent + 2 00007ffa74f51642 3 bytes {JMP 0xffffffff8012ec90} .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateSection 00007ffa74f51660 5 bytes JMP 00007ffaf5080310 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateThread 00007ffa74f516a0 5 bytes JMP 00007ffaf50803c0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffa74f516f0 5 bytes JMP 00007ffaf50803f0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffa74f51850 5 bytes JMP 00007ffaf5080230 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffa74f51a40 5 bytes JMP 00007ffaf5080480 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffa74f51a70 5 bytes JMP 00007ffaf50803a0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffa74f51b90 5 bytes JMP 00007ffaf50802f0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffa74f51bb0 5 bytes JMP 00007ffaf5080350 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffa74f51c20 5 bytes JMP 00007ffaf5080290 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffa74f51cb0 5 bytes JMP 00007ffaf50802b0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffa74f51cd0 5 bytes JMP 00007ffaf50803d0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffa74f51ce0 5 bytes JMP 00007ffaf5080330 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffa74f51d90 5 bytes JMP 00007ffaf5080410 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffa74f51dc0 5 bytes JMP 00007ffaf5080240 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffa74f520e0 5 bytes JMP 00007ffaf50801e0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffa74f521a0 5 bytes JMP 00007ffaf5080250 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffa74f521d0 5 bytes JMP 00007ffaf5080490 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffa74f521e0 5 bytes JMP 00007ffaf50804a0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffa74f52210 5 bytes JMP 00007ffaf5080300 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffa74f52220 5 bytes JMP 00007ffaf5080360 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffa74f52280 5 bytes JMP 00007ffaf50802a0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffa74f522d0 5 bytes JMP 00007ffaf50802c0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenThread 00007ffa74f52300 5 bytes JMP 00007ffaf5080380 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffa74f52310 5 bytes JMP 00007ffaf5080340 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffa74f52620 5 bytes JMP 00007ffaf5080440 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffa74f52820 5 bytes JMP 00007ffaf5080260 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffa74f52830 5 bytes JMP 00007ffaf5080270 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffa74f52850 5 bytes JMP 00007ffaf5080400 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffa74f52a30 5 bytes JMP 00007ffaf50801f0 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffa74f52a40 5 bytes JMP 00007ffaf5080210 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffa74f52ad0 5 bytes JMP 00007ffaf5080200 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffa74f52b40 5 bytes JMP 00007ffaf5080420 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffa74f52b50 5 bytes JMP 00007ffaf5080430 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffa74f52b60 5 bytes JMP 00007ffaf5080220 .text C:\WINDOWS\system32\AUDIODG.EXE[5140] C:\WINDOWS\SYSTEM32\ntdll.dll!NtVdmControl 00007ffa74f52c70 5 bytes JMP 00007ffaf5080280 ---- Threads - GMER 2.1 ---- Thread C:\WINDOWS\system32\csrss.exe [644:668] fffff960009782d0 ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- EOF - GMER 2.1 ----