GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-05-03 20:11:01 Windows 5.1.2600 Service Pack 2 Running: q0mtskp1.exe; Driver: C:\DOCUME~1\RICK~1.RIC\LOCALS~1\Temp\fwacrpob.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xBA05E360, 0x307F47, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\svchost.exe[1092] ntdll.dll!NtQueryInformationProcess 7C90E01B 5 Bytes JMP 007BADCD .text C:\Program Files\Mozilla Firefox\firefox.exe[1352] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation) ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] nhncpvfcy <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy@DisplayName Task Config Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy@Description Dit is een gemeenschappelijke interface en objectmodel voor toegang tot beheergegevens over besturingssystemen, apparaten, toepassingen en services. Als deze service wordt gestopt zal de meeste windows-software niet juist werken. Als deze service wordt uitgeschakeld, kunnen services die van de service afhankelijk zijn niet worden gestart. Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\nhncpvfcy\Parameters@ServiceDll C:\WINDOWS\system32\ozhtofe.dll Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy@DisplayName Task Config Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy@Type 32 Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy@Start 2 Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy@Description Dit is een gemeenschappelijke interface en objectmodel voor toegang tot beheergegevens over besturingssystemen, apparaten, toepassingen en services. Als deze service wordt gestopt zal de meeste windows-software niet juist werken. Als deze service wordt uitgeschakeld, kunnen services die van de service afhankelijk zijn niet worden gestart. Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy\Parameters (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\nhncpvfcy\Parameters@ServiceDll C:\WINDOWS\system32\ozhtofe.dll ---- EOF - GMER 1.0.15 ----