Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Persistent (BIOS/Firmware?) Virus, help appreciated :)


  • This topic is locked This topic is locked
18 replies to this topic

#1 Newgonhowzter

Newgonhowzter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:15 AM

Posted 19 November 2014 - 06:39 PM

Hi Everyone,

 

I have been battling a virus for quite some time, it has infected every PC I own (11) and I cannot for the life of me remove it. I am passed the polnt of recovering personal data, I would just like access to my computers and use them without being monitored. I believe that this is an above normal grade rootkit that cannot be removed by simple measures and I am at a loss of what to try next. I have spent hundreds of hours trying to get this removed and still it remains. I will save you from an ehaustive explanation of how I came to my conclusions and try to keep this brief as not to waste your time or send you down the wrong path. I think I am dealing with a persistant multi-payload rootkit that hypervises my PC's. One would think this would only affect one PC due to hardware limitations but this is not the case. Here is what I have attempted in order to remove the virus.

 

Last resorts:

(anything imaginable in windows)

-Removed CMOS/RAM/Power allowed to sit a week (was traveling for work)

-Flashed BIOS (ROG flashback button, fresh USB, CAB file loaded by clean PC)

-Replaced RAM (new ram)

-Replaced HD (new HD)

-All other drives removed

-Installed windows from new DVD drive using OEM WIN 8 DVD (offline)

-Installed with Secure Boot/TPM/NX enabled

 

Diagnostics:

-Dumped memory

-GMER detects kernel modification

-Dumped ROM/BIN from BIOS

-Examined BIOS (RWPortable)

-Hirens BCD (every tool possible)

-Ubuntu (clamAV)

-Network sniffing/capture

-Most AV's do not detect any signs (with the exception that the more I install they start detecting each other as Trojans/becoming infected/stop running)

-Installed Devices

 

 

What I have learned (or think I have)

-People who experience similar issues are quickly deemed crazy or lack knowledge to understand these may be normal functions of a computer, I do not claim to be an expert, I just really like computers. I could be crazy and infact would be very happy if I was.

-Executes mirco code at boot (AHCI/SMBUS/RAM memory locking) diagnosed via BIOS/Several dos tools (coreboot?)

-I believe it PXE/Sea boots although unsure

-All BIOS versions on all PC's show up as UNKNOWN through any BIOS tool

-If a hard drive is formatted/Zero'd it always fails, I believe this is because of the way they write to the drive, hidding boot sectors in unreadable/locked data

-Lots of Junctions/Symlinks between folders (to retain integrity)

-PE boots PC when re-installing windows (if drive not properly formatted)

-Tons of virtual adapters/hosts

-When running system information tools on all of my PC's they all identify a seperate PC and it is always a Pentium III (VM host?)

-Remote data base endpoints located in all volume information directories

-VMsphere/VHD files installed in hidden directory

-Tons of .SYS file extensions/Python scripts/Assembly/Jar files

-Extended BIOS tables, flashing only writes to the BIOS and misses these tables

-I can see all the devices, locked memory ranges etc but unsure how to edit/remove these correctly without damaging the firmware/Bios

-Any usb device I insert will originally be installed with it's factory name (LEXAR 16GB DISK), upon the next insertion the driver/device will be named "GENERIC MULTIPLE CARD READER" on all devices. Several of my devices no longer function and am guessing this is because I removed them while the firmware was being flashed.

-Certain tasks/applications in DOS cause a KERNEL PANIC and this is the last error I see as my screen locks up, hard reset is required.

-All devices are forced to an S3 power state with remote power management

-Everything in DOS is locked down, FDISK/CHKDISK/DISKPART have INI files that lock/restrict commands/options/stop from detecting drive partitions. Memory cannot be unlocked, files cannot be deleted, symbolic links cannot be deleted and certain items cannot be accessed. I have also attempted in MiniXP/Linux recovery/Ubuntu/every boot rescue disc imagineable. I cannot take permission/change any of these items.

-Much more that I am most likely forgetting.

 

 

In order to remove this I believe I would  have to offline flash all my firmware somehow, this is out of my scope of knowledge, I am guessing I could make an ISO that boots in to DOS and runs each EXE file. Meanwhile I would have to edit the extended BIOS tables to stop the code from executing. Enabling NX/secure boot/changing SMbus/USB etc in the BIOS makes zero difference, it seems to be able to manipulate these or reflash the BIOS prior to going back in to windows, this still occurs with no physical drives attached and booting only from CD. I am not holding on to the idea that this is the case, this far exceeds my level of knowledge and I personally would love to be wrong. Sorry for any grammatical errors, I am exhausted and just desperately need some assistance, once fixed I will ensure to enable the hardware lock on my BIOS. I have never before been concerned about virus' as I can low level the drive and re-install. Lesson learned.

Thank you for your help in advance and please let me know what information/tools/logs you would like me to provide.

 


Edited by Newgonhowzter, 19 November 2014 - 07:12 PM.


BC AdBot (Login to Remove)

 


#2 HelpBot

HelpBot

    Bleepin' Binary Bot


  • Bots
  • 12,760 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:05:15 AM

Posted 24 November 2014 - 06:40 PM

Hello and welcome to Bleeping Computer!

I am HelpBot: an automated program designed to help the Bleeping Computer Staff better assist you! This message contains very important information, so please read through all of it before doing anything.

We apologize for the delay in responding to your request for help. Here at Bleeping Computer we get overwhelmed at times, and we are trying our best to keep up. Please note that your topic was not intentionally overlooked. Our mission is to help everyone in need, but sometimes it takes just a little longer to get to every request for help. No one is ignored here.

To help Bleeping Computer better assist you please perform the following steps:

***************************************************

step1.gif In order to continue receiving help at BleepingComputer.com, YOU MUST tell me if you still need help or if your issue has already been resolved on your own or through another resource! To tell me this, please click on the following link and follow the instructions there.

CLICK THIS LINK >>> http://www.bleepingcomputer.com/logreply/556871 <<< CLICK THIS LINK



If you no longer need help, then all you needed to do was the previous instructions of telling me so. You can skip the rest of this post. If you do need help please continue with Step 2 below.

***************************************************

step2.gifIf you still need help, I would like you to post a Reply to this topic (click the "Add Reply" button in the lower right hand of this page). In that reply, please include the following information:

  • If you have not done so already, include a clear description of the problems you're having, along with any steps you may have performed so far.
  • A new DDS log. For your convenience, you will find the instructions for generating these logs repeated at the bottom of this post.
    • Please do this even if you have previously posted logs for us.
    • If you were unable to produce the logs originally please try once more.
    • If you are unable to create a log please provide detailed information about your installed Windows Operating System including the Version, Edition and if it is a 32bit or a 64bit system.
    • If you are unsure about any of these characteristics just post what you can and we will guide you.
  • Please tell us if you have your original Windows CD/DVD available.
  • Upon completing the above steps and posting a reply, another staff member will review your topic and do their best to resolve your issues.

Thank you for your patience, and again sorry for the delay.

***************************************************

We need to see some information about what is happening in your machine. Please perform the following scan again:

  • Download DDS by sUBs from the following link if you no longer have it available and save it to your destop.

    DDS.com Download Link
  • Double click on the DDS icon, allow it to run.
  • A small box will open, with an explanation about the tool. No input is needed, the scan is running.
  • Notepad will open with the results.
  • Follow the instructions that pop up for posting the results.
  • Close the program window, and delete the program from your desktop.
Please note: You may have to disable any script protection running if the scan fails to run. After downloading the tool, disconnect from the internet and disable all antivirus protection. Run the scan, enable your A/V and reconnect to the internet.

Information on A/V control can be found HERE.

As I am just a silly little program running on the BleepingComputer.com servers, please do not send me private messages as I do not know how to read and reply to them! Thanks!

#3 Newgonhowzter

Newgonhowzter
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:15 AM

Posted 26 November 2014 - 01:26 PM

DDS (Ver_2012-11-20.01) - NTFS_AMD64 
Internet Explorer: 11.0.9600.16518
Run by adamr at 11:24:18 on 2014-11-26
Microsoft Windows 8.1 Enterprise  6.3.9600.0.1252.1.1033.18.16287.13246 [GMT -7:00]
.
.
============== Running Processes ===============
.
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\system32\nvvsvc.exe
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\dwm.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\igfxCUIService.exe
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
C:\Windows\system32\DptfParticipantProcessorService.exe
C:\Windows\system32\DptfPolicyCriticalService.exe
C:\Program Files\Intel\iCLS Client\HeciServer.exe
C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagent.exe
C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
C:\Program Files (x86)\RelevantKnowledge\rlservice.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\SysWOW64\vmnat.exe
C:\Program Files (x86)\VMware\VMware Player\vmware-authd.exe
C:\Windows\SysWOW64\vmnetdhcp.exe
C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator64.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe
C:\Windows\system32\taskhostex.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\igfxEM.exe
C:\Windows\system32\igfxHK.exe
C:\Windows\system32\igfxTray.exe
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\vapm.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe
C:\Program Files (x86)\Intel\Bluetooth\devmonsrv.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files (x86)\Intel\Bluetooth\obexsrv.exe
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe
C:\Program Files\Greenshot\Greenshot.exe
C:\Program Files\Microsoft Office\Office15\OUTLOOK.EXE
C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe
C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe
C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe
C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\PROGRA~2\RELEVA~1\rlvknlg64.exe
C:\PROGRA~2\RELEVA~1\rlvknlg32.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\cscript.exe
.
============== Pseudo HJT Report ===============
.
mWinlogon: Userinit = userinit.exe
BHO: Lync Browser Helper: {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll
BHO: Microsoft SkyDrive Pro Browser Helper: {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files (x86)\Microsoft Office\Office15\GROOVEEX.DLL
mRun: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe"
uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
mPolicies-System: EnableLUA = dword:0
mPolicies-System: ConsentPromptBehaviorAdmin = dword:0
IE: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~1\Office15\EXCEL.EXE/3000
IE: Se&nd to OneNote - C:\PROGRA~1\MICROS~1\Office15\ONBttnIE.dll/105
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIE.dll
IE: {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files (x86)\Microsoft Office\Office15\OCHelper.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files (x86)\Microsoft Office\Office15\ONBttnIELinkedNotes.dll
LSP: %windir%\system32\vsocklib.dll
TCP: NameServer = 192.168.0.1
TCP: Interfaces\{CDC71F51-C8A7-4370-BD1E-FF484E2A742A} : DHCPNameServer = 192.168.0.1
TCP: Interfaces\{CDC71F51-C8A7-4370-BD1E-FF484E2A742A}\14962724F626D24556368635562767 : DHCPNameServer = 10.0.0.28 10.0.0.105
Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL
Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL
SSODL: WebCheck - <orphaned>
LSA: Security Packages =  ""
mASetup: {8A69D345-D564-463c-AFF1-A69D9E530F96} - "C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.71\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome
x64-BHO: Lync Browser Helper: {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\Office15\OCHelper.dll
x64-BHO: Microsoft SkyDrive Pro Browser Helper: {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office\Office15\GROOVEEX.DLL
x64-Run: [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"
x64-Run: [ShadowPlay] C:\Windows\System32\rundll32.exe C:\Windows\System32\nvspcap64.dll,ShadowPlayOnSystemStart
x64-Run: [IAStorIcon] "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" 60
x64-Run: [BTMTrayAgent] rundll32.exe "C:\Program Files (x86)\Intel\Bluetooth\btmshellex.dll",TrayApp
x64-Run: [RTHDVCPL] "C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe" -s
x64-Run: [RtHDVBg_MA3Firmware] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /VIENNAMA3
x64-Run: [RtHDVBg_PushButton] "C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe" /IM
x64-Run: [DptfPolicyLpmServiceHelper] C:\Windows\System32\DptfPolicyLpmServiceHelper.exe
x64-Run: [Greenshot] C:\Program Files\Greenshot\Greenshot.exe
x64-mPolicies-System: EnableLUA = dword:0
x64-mPolicies-System: ConsentPromptBehaviorAdmin = dword:0
x64-IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files\Microsoft Office\Office15\ONBttnIE.dll
x64-IE: {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\Office15\OCHelper.dll
x64-IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files\Microsoft Office\Office15\ONBttnIELinkedNotes.dll
x64-Filter: text/xml - {807583E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE15\MSOXMLMF.DLL
x64-Handler: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files\Microsoft Office\Office15\MSOSB.DLL
x64-SSODL: WebCheck - <orphaned>
x64-mASetup: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - /UserInstall
x64-mASetup: {89820200-ECBD-11cf-8B85-00AA005B4340} - U
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\adamr\AppData\Roaming\Mozilla\Firefox\Profiles\r8q4te7v.default\
FF - plugin: C:\PROGRA~2\MICROS~1\Office15\NPSPWRAP.DLL
FF - plugin: C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll
FF - plugin: C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll
FF - plugin: C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll
FF - plugin: C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll
FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\Mozilla Firefox\plugins\npMeetingJoinPluginOC.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_239.dll
.
============= SERVICES / DRIVERS ===============
.
R0 iaStorA;iaStorA;C:\Windows\System32\drivers\iaStorA.sys [2013-10-28 632168]
R0 intelpep;Intel® Power Engine Plug-in Driver;C:\Windows\System32\drivers\intelpep.sys [2014-11-24 39768]
R0 stdcfltn;Disk Class Filter Driver for Accelerometer;C:\Windows\System32\drivers\stdcfltn.sys [2014-11-20 22168]
R0 vsock;vSockets Driver;C:\Windows\System32\drivers\vsock.sys [2014-11-25 73296]
R1 ahcache;Application Compatibility Cache;C:\Windows\System32\drivers\ahcache.sys [2013-8-22 76800]
R1 KLFLTDEV;Kaspersky Lab KLFltDev;C:\Windows\System32\drivers\klfltdev.sys [2013-7-8 30816]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;C:\Windows\System32\drivers\klim6.sys [2013-7-11 30304]
R1 klwfp;klwfp;C:\Windows\System32\drivers\klwfp.sys [2013-2-27 50448]
R1 kneps;kneps;C:\Windows\System32\drivers\kneps.sys [2013-7-1 177760]
R2 AERTFilters;Andrea RT Filters Service;C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe [2014-11-20 98208]
R2 Bluetooth Device Monitor;Bluetooth Device Monitor;C:\Program Files (x86)\Intel\Bluetooth\devmonsrv.exe [2014-2-3 1198456]
R2 Bluetooth OBEX Service;Bluetooth OBEX Service;C:\Program Files (x86)\Intel\Bluetooth\obexsrv.exe [2014-1-13 1161592]
R2 DptfParticipantProcessorService;Intel® Dynamic Platform and Thermal Framework Processor Participant Service Application;C:\Windows\System32\DptfParticipantProcessorService.exe [2014-11-20 115632]
R2 DptfPolicyCriticalService;Intel® Dynamic Platform and Thermal Framework Critical Service Application;C:\Windows\System32\DptfPolicyCriticalService.exe [2014-11-20 148688]
R2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [2013-10-28 15720]
R2 igfxCUIService1.0.0.0;Intel® HD Graphics Control Panel Service;C:\Windows\System32\igfxCUIService.exe [2014-5-11 315376]
R2 Intel® Capability Licensing Service Interface;Intel® Capability Licensing Service Interface;C:\Program Files\Intel\iCLS Client\HeciServer.exe [2013-5-11 733696]
R2 jhi_service;Intel® Dynamic Application Loader Host Interface Service;C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe [2014-11-20 169432]
R2 klnagent;Kaspersky Lab Network Agent;C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klnagent.exe [2013-11-18 132600]
R2 NvNetworkService;NVIDIA Network Service;C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [2014-11-20 1593632]
R2 NvStreamSvc;NVIDIA Streamer Service;C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [2014-11-20 16939296]
R2 RelevantKnowledge;RelevantKnowledge;C:\Program Files (x86)\RelevantKnowledge\rlservice.exe [2014-11-25 213784]
R2 RtkAudioService;Realtek Audio Service;C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe [2014-11-20 288472]
R2 VMUSBArbService;VMware USB Arbitration Service;C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator64.exe [2014-2-27 906432]
R3 acpials;ALS Sensor Filter;C:\Windows\System32\drivers\acpials.sys [2013-9-29 9216]
R3 btmhsf;btmhsf;C:\Windows\System32\drivers\btmhsf.sys [2014-2-21 1419064]
R3 DellRbtn;Airplane Mode Switch;C:\Windows\System32\drivers\DellRbtn.sys [2013-1-24 10752]
R3 DptfDevDram;DptfDevDram;C:\Windows\System32\drivers\DptfDevDram.sys [2014-11-20 143568]
R3 DptfDevGen;DptfDevGen;C:\Windows\System32\drivers\DptfDevGen.sys [2014-11-20 76432]
R3 DptfDevPch;DptfDevPch;C:\Windows\System32\drivers\DptfDevPch.sys [2014-11-20 114680]
R3 DptfDevProc;DptfDevProc;C:\Windows\System32\drivers\DptfDevProc.sys [2014-11-20 287160]
R3 DptfManager;DptfManager;C:\Windows\System32\drivers\DptfManager.sys [2014-11-20 494272]
R3 ibtusb;Intel® Wireless Bluetooth® 4.0 + HS Adapter;C:\Windows\System32\drivers\ibtusb.sys [2014-2-3 186064]
R3 iwdbus;IWD Bus Enumerator;C:\Windows\System32\drivers\iwdbus.sys [2014-9-18 27032]
R3 NcbService;Network Connection Broker;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2013-8-22 37768]
R3 NdisVirtualBus;Microsoft Virtual Network Adapter Enumerator;C:\Windows\System32\drivers\NdisVirtualBus.sys [2013-8-22 16384]
R3 NETwNb64;@oem5.inf,___ %NIC_Service_DispName_WINB_64%;___ Intel® Wireless Adapter Driver for Windows 8.1 - 64 Bit;C:\Windows\System32\drivers\NETwbw02.sys [2013-9-25 3589600]
R3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);C:\Windows\System32\drivers\nvvad64v.sys [2014-11-20 39200]
R3 RTSPER;Realtek PCIE Card Reader - PER;C:\Windows\System32\drivers\RtsPer.sys [2014-11-20 423128]
R3 SensorsAlsDriver;UMDF Reflector service for SensorsAlsDriver;C:\Windows\System32\drivers\WUDFRd.sys [2013-8-22 230912]
R3 SmbDrvI;SmbDrvI;C:\Windows\System32\drivers\Smb_driver_Intel.sys [2014-11-20 34544]
R3 ST_ACCEL;STMicroelectronics Accelerometer Service;C:\Windows\System32\drivers\ST_Accel.sys [2014-11-20 83456]
R3 WUDFWpdMtp;WUDFWpdMtp;C:\Windows\System32\drivers\WUDFRd.sys [2013-8-22 230912]
S0 klelam;klelam;C:\Windows\System32\drivers\klelam.sys [2012-7-27 29616]
S2 AVP;Kaspersky Endpoint Security Service;C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe [2013-11-27 741360]
S2 DptfPolicyLpmService;Intel® Dynamic Platform and Thermal Framework Low Power Mode Service Application;C:\Windows\System32\DptfPolicyLpmService.exe [2014-11-20 124880]
S3 ADP80XX;ADP80XX;C:\Windows\System32\drivers\adp80xx.sys [2013-8-22 782176]
S3 AppReadiness;App Readiness;C:\Windows\System32\svchost.exe -k AppReadiness [2013-8-22 37768]
S3 AppXSvc;AppX Deployment Service (AppXSVC);C:\Windows\System32\svchost.exe -k wsappx [2013-8-22 37768]
S3 bcmfn2;bcmfn2 Service;C:\Windows\System32\drivers\bcmfn2.sys [2013-8-21 17624]
S3 BthLEEnum;Bluetooth Low Energy Driver;C:\Windows\System32\drivers\BthLEEnum.sys [2013-8-22 224768]
S3 btmaux;Intel Bluetooth Auxiliary Service;C:\Windows\System32\drivers\btmaux.sys [2014-2-3 140600]
S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);C:\Windows\System32\drivers\ssudbus.sys [2014-1-22 108800]
S3 iaLPSSi_GPIO;Intel® Serial IO GPIO Controller Driver;C:\Windows\System32\drivers\iaLPSSi_GPIO.sys [2013-8-21 24568]
S3 iaLPSSi_I2C;Intel® Serial IO I2C Controller Driver;C:\Windows\System32\drivers\iaLPSSi_I2C.sys [2013-8-21 99320]
S3 iaStorAV;Intel® SATA RAID Controller Windows;C:\Windows\System32\drivers\iaStorAV.sys [2013-8-22 651248]
S3 IEEtwCollectorService;Internet Explorer ETW Collector Service;C:\Windows\System32\ieetwcollector.exe [2014-11-24 111616]
S3 intaud_WaveExtensible;Intel WiDi Audio Device;C:\Windows\System32\drivers\intelaud.sys [2014-9-18 38296]
S3 IntcDAud;Intel® Display Audio;C:\Windows\System32\drivers\IntcDAud.sys [2014-5-11 450520]
S3 Intel® Capability Licensing Service TCP IP Interface;Intel® Capability Licensing Service TCP IP Interface;C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe [2013-5-11 822232]
S3 kbldfltr;kbldfltr;C:\Windows\System32\drivers\kbldfltr.sys [2013-9-29 22272]
S3 lfsvc;Windows Location Framework Service;C:\Windows\System32\svchost.exe -k netsvcs [2013-8-22 37768]
S3 LSI_SAS3;LSI_SAS3;C:\Windows\System32\drivers\lsi_sas3.sys [2013-8-21 81760]
S3 netvsc;netvsc;C:\Windows\System32\drivers\netvsc63.sys [2013-8-22 87040]
S3 NETwNe64;@netwew02.inf,___ %NIC_Service_DispName_WIN8_64%;___ Intel® Wireless WiFi Link 5000 Series Adapter Driver for Windows 8 - 64 Bit;C:\Windows\System32\drivers\NETwew02.sys [2013-8-21 4649440]
S3 ose64;Office 64 Source Engine;C:\Program Files\Common Files\microsoft shared\Source Engine\OSE.EXE [2014-1-23 178760]
S3 ReFS;ReFS;C:\Windows\System32\drivers\refs.sys [2013-8-22 924512]
S3 ScDeviceEnum;Smart Card Device Enumeration Service;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2013-8-22 37768]
S3 SerCx2;Serial UART Support Library;C:\Windows\System32\drivers\SerCx2.sys [2014-11-24 146776]
S3 smphost;Microsoft Storage Spaces SMP;C:\Windows\System32\svchost.exe -k smphost [2013-8-22 37768]
S3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);C:\Windows\System32\drivers\ssudmdm.sys [2014-1-22 206080]
S3 stornvme;Microsoft Standard NVM Express Driver;C:\Windows\System32\drivers\stornvme.sys [2014-11-24 57176]
S3 UEFI;Microsoft UEFI Driver;C:\Windows\System32\drivers\uefi.sys [2013-8-22 26976]
S3 vmbusr;Virtual Machine Bus Provider;C:\Windows\System32\drivers\vmbusr.sys [2013-9-29 129536]
S3 vmicguestinterface;Hyper-V Guest Service Interface;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2013-8-22 37768]
S3 WdNisDrv;Windows Defender Network Inspection System Driver;C:\Windows\System32\drivers\WdNisDrv.sys [2014-11-24 124760]
S3 WdNisSvc;Windows Defender Network Inspection Service;C:\Program Files\Windows Defender\NisSrv.exe [2014-11-24 348392]
S3 WEPHOSTSVC;Windows Encryption Provider Host Service;C:\Windows\System32\svchost.exe -k WepHostSvcGroup [2013-8-22 37768]
S3 workfolderssvc;Work Folders;C:\Windows\System32\svchost.exe -k LocalService [2013-8-22 37768]
S4 MsKeyboardFilter;Microsoft Keyboard Filter;C:\Windows\System32\svchost.exe -k netsvcs [2013-8-22 37768]
.
=============== Created Last 30 ================
.
2014-11-26 06:16:51 73296 ----a-w- C:\Windows\System32\drivers\vsock.sys
2014-11-26 06:16:51 67664 ----a-w- C:\Windows\System32\vsocklib.dll
2014-11-26 06:16:51 63568 ----a-w- C:\Windows\SysWow64\vsocklib.dll
2014-11-26 06:16:49 64728 ----a-w- C:\Windows\System32\drivers\vmx86.sys
2014-11-26 06:16:18 33496 ----a-w- C:\Windows\System32\drivers\VMkbd.sys
2014-11-26 06:14:17 359128 ----a-w- C:\Windows\SysWow64\vmnetdhcp.exe
2014-11-26 06:14:16 437976 ----a-w- C:\Windows\SysWow64\vmnat.exe
2014-11-26 06:14:16 31448 ----a-w- C:\Windows\System32\drivers\vmnetuserif.sys
2014-11-26 06:14:14 931032 ----a-w- C:\Windows\System32\vnetlib64.dll
2014-11-26 06:14:09 54464 ----a-w- C:\Windows\System32\drivers\hcmon.sys
2014-11-26 06:14:09 51904 ----a-w- C:\Windows\System32\drivers\vmusb.sys
2014-11-26 06:14:05 -------- d-----w- C:\Program Files\Common Files\VMware
2014-11-26 06:13:53 -------- d-----w- C:\Program Files (x86)\VMware
2014-11-26 06:13:53 -------- d-----w- C:\Program Files (x86)\Common Files\VMware
2014-11-26 02:26:48 971544 ----a-w- C:\Windows\System32\rlls64.dll
2014-11-26 02:26:48 660760 ----a-w- C:\Windows\SysWow64\rlls.dll
2014-11-26 02:26:46 -------- d-----w- C:\Program Files (x86)\RelevantKnowledge
2014-11-26 02:26:24 -------- d-----w- C:\Program Files (x86)\Free File Encrypter
2014-11-26 02:17:45 -------- d-----w- C:\Users\adamr\AppData\Local\Macromedia
2014-11-26 02:16:46 -------- d-----w- C:\Users\adamr\AppData\Local\Adobe
2014-11-26 02:14:06 -------- d-----w- C:\Users\adamr\AppData\Local\VMware
2014-11-26 01:05:37 -------- d-----w- C:\Windows\System32\appmgmt
2014-11-25 23:40:13 -------- d-----w- C:\sources
2014-11-25 04:32:16 -------- d-----w- C:\MinGW
2014-11-25 02:48:09 -------- d-----w- C:\Windows\SysWow64\%Report%
2014-11-24 23:08:45 -------- d-----w- C:\Users\adamr\AppData\Roaming\MPC-HC
2014-11-24 21:01:50 -------- d-----w- C:\Users\adamr\AppData\Local\Microsoft Help
2014-11-24 20:59:46 23492992 ----a-w- C:\Program Files\Common Files\Microsoft Shared\Microsoft Camera Codec Pack\MicrosoftRawCodec.dll
2014-11-24 20:59:46 22808656 ----a-w- C:\Program Files (x86)\Common Files\Microsoft Shared\Microsoft Camera Codec Pack\MicrosoftRawCodec.dll
2014-11-24 20:57:27 -------- d-----w- C:\Windows\System32\MRT
2014-11-24 20:43:21 2570240 ----a-w- C:\Windows\System32\SettingsHandlers.dll
2014-11-24 20:40:38 977408 ----a-w- C:\Windows\SysWow64\Windows.Media.Streaming.dll
2014-11-24 20:40:38 294400 ----a-w- C:\Windows\System32\Windows.Devices.Sensors.dll
2014-11-24 20:40:38 225792 ----a-w- C:\Windows\SysWow64\Windows.Devices.Sensors.dll
2014-11-24 20:40:38 1286552 ----a-w- C:\Windows\System32\msctf.dll
2014-11-24 20:40:38 1217024 ----a-w- C:\Windows\System32\Windows.Media.Streaming.dll
2014-11-24 20:40:38 1018960 ----a-w- C:\Windows\SysWow64\msctf.dll
2014-11-24 20:39:24 628736 ----a-w- C:\Windows\SysWow64\MrmCoreR.dll
2014-11-24 20:39:24 11702272 ----a-w- C:\Windows\SysWow64\twinui.dll
2014-11-24 20:39:23 919040 ----a-w- C:\Windows\System32\MrmCoreR.dll
2014-11-24 20:39:23 7416832 ----a-w- C:\Windows\System32\Windows.UI.Search.dll
2014-11-24 20:39:23 4961792 ----a-w- C:\Windows\SysWow64\Windows.UI.Search.dll
2014-11-24 20:39:23 13209088 ----a-w- C:\Windows\System32\twinui.dll
2014-11-24 20:39:22 830976 ----a-w- C:\Windows\SysWow64\SearchFolder.dll
2014-11-24 20:39:22 1462216 ----a-w- C:\Windows\System32\propsys.dll
2014-11-24 20:39:22 1202888 ----a-w- C:\Windows\SysWow64\propsys.dll
2014-11-24 20:39:22 1105408 ----a-w- C:\Windows\System32\SearchFolder.dll
2014-11-24 20:32:35 115712 ----a-w- C:\Windows\System32\winbici.dll
2014-11-24 20:31:49 848384 ----a-w- C:\Windows\System32\WSShared.dll
2014-11-24 20:31:49 84480 ----a-w- C:\Windows\System32\WSCollect.exe
2014-11-24 20:31:49 695808 ----a-w- C:\Windows\SysWow64\WSShared.dll
2014-11-24 20:31:49 3395920 ----a-w- C:\Windows\System32\WSService.dll
2014-11-24 20:31:49 249856 ----a-w- C:\Windows\System32\Windows.ApplicationModel.Store.TestingFramework.dll
2014-11-24 20:31:48 189952 ----a-w- C:\Windows\SysWow64\Windows.ApplicationModel.Store.TestingFramework.dll
2014-11-24 20:27:13 4189184 ----a-w- C:\Windows\System32\win32k.sys
2014-11-24 20:26:30 828416 ----a-w- C:\Windows\System32\BFE.DLL
2014-11-24 20:26:30 136536 ----a-w- C:\Windows\System32\drivers\wfplwfs.sys
2014-11-24 20:26:30 1104384 ----a-w- C:\Windows\System32\IKEEXT.DLL
2014-11-24 20:21:56 75360 ----a-w- C:\Windows\System32\imagehlp.dll
2014-11-24 20:20:39 197120 ----a-w- C:\Windows\System32\scrrun.dll
2014-11-24 20:20:39 156672 ----a-w- C:\Windows\SysWow64\scrrun.dll
2014-11-24 20:20:37 869888 ----a-w- C:\Windows\SysWow64\twinui.appcore.dll
2014-11-24 20:20:37 2801664 ----a-w- C:\Windows\System32\actxprxy.dll
2014-11-24 20:20:37 1085952 ----a-w- C:\Windows\System32\twinui.appcore.dll
2014-11-24 20:20:37 1019392 ----a-w- C:\Windows\SysWow64\actxprxy.dll
2014-11-24 20:20:35 586240 ----a-w- C:\Windows\System32\qedit.dll
2014-11-24 20:20:35 488448 ----a-w- C:\Windows\SysWow64\qedit.dll
2014-11-24 20:20:19 18944 ----a-w- C:\Windows\System32\pcaui.exe
2014-11-24 20:20:19 17408 ----a-w- C:\Windows\SysWow64\pcaui.exe
2014-11-24 20:19:53 615936 ----a-w- C:\Windows\System32\MDMAgent.exe
2014-11-24 20:19:53 414720 ----a-w- C:\Windows\System32\wbem\MDMSettingsProv.dll
2014-11-24 20:19:53 287744 ----a-w- C:\Windows\System32\mdmregistration.dll
2014-11-24 20:19:53 240128 ----a-w- C:\Windows\SysWow64\mdmregistration.dll
2014-11-24 20:19:53 156672 ----a-w- C:\Windows\System32\wbem\MDMAppProv.dll
2014-11-24 20:19:19 787968 ----a-w- C:\Windows\System32\uDWM.dll
2014-11-24 20:08:39 -------- d-----w- C:\ProgramData\Norton
2014-11-24 20:06:06 -------- d-----w- C:\Program Files\RW-Everything
2014-11-24 19:22:21 -------- d-----w- C:\Users\adamr\AppData\Local\GroupPolicy
2014-11-24 19:01:15 -------- d-----w- C:\Users\adamr\AppData\Roaming\Wireshark
2014-11-24 18:55:09 -------- d-----w- C:\Users\adamr\AppData\Roaming\Foxit Software
2014-11-24 18:50:13 -------- d-----w- C:\Users\adamr\AppData\Local\Snooper
2014-11-24 18:50:13 -------- d-----w- C:\Program Files (x86)\Snooper
2014-11-24 18:42:33 -------- d-----w- C:\Users\adamr\AppData\Local\Mozilla
2014-11-24 17:55:00 -------- d-----w- C:\Program Files (x86)\Foxit Software
2014-11-24 17:54:47 -------- d-----w- C:\FTP
2014-11-24 17:53:19 -------- d-----w- C:\Program Files (x86)\WinPcap
2014-11-24 17:52:31 -------- d-----w- C:\Program Files (x86)\VideoLAN
2014-11-24 17:52:04 -------- d-----w- C:\Program Files (x86)\Audacity
2014-11-24 17:51:25 -------- d-----w- C:\Program Files (x86)\Combined Community Codec Pack
2014-11-24 17:51:23 -------- d-----w- C:\Program Files\Wireshark
2014-11-24 17:50:48 -------- d-----w- C:\Users\adamr\AppData\Roaming\Greenshot
2014-11-24 17:50:48 -------- d-----w- C:\Users\adamr\AppData\Local\Greenshot
2014-11-24 17:50:43 -------- d-----w- C:\Users\adamr\AppData\Local\Programs
2014-11-24 17:50:43 -------- d-----w- C:\Program Files\Greenshot
2014-11-24 17:50:24 -------- d-----w- C:\Users\adamr\AppData\Local\Google
2014-11-24 17:28:45 -------- d-----w- C:\Users\adamr\AppData\Roaming\Intel Corporation
2014-11-24 17:28:24 -------- d-----w- C:\Users\adamr\AppData\Local\NVIDIA Corporation
2014-11-20 20:19:10 269992 ----a-w- C:\ProgramData\Microsoft\Windows\Sqm\Manifest\Sqm10248.bin
2014-11-20 19:33:10 -------- d-----w- C:\ProgramData\Kaspersky Lab
2014-11-20 19:33:06 98400 ----a-w- C:\Windows\System32\drivers\klflt.sys
2014-11-20 19:32:52 -------- d-----w- C:\Windows\Panther
2014-11-20 19:32:07 -------- d-----w- C:\ProgramData\KasperskyLab
2014-11-20 19:32:04 -------- d-----w- C:\Program Files (x86)\Common Files\Cisco Systems
2014-11-20 19:32:01 -------- d-----w- C:\Program Files (x86)\Kaspersky Lab
2014-11-20 19:29:55 -------- d-----w- C:\Program Files (x86)\Microsoft SQL Server
2014-11-20 19:29:29 -------- d-----w- C:\Windows\PCHEALTH
2014-11-20 19:29:29 -------- d-----w- C:\Program Files\Microsoft SQL Server
2014-11-20 19:28:19 -------- d-----w- C:\Program Files\Microsoft Analysis Services
2014-11-20 19:28:19 -------- d-----w- C:\Program Files (x86)\Microsoft Analysis Services
2014-11-20 19:26:11 278800 ------w- C:\Windows\System32\MpSigStub.exe
2014-11-20 19:14:22 -------- d-----w- C:\Windows\System32\SRSLabs
2014-11-20 19:13:59 922880 ----a-w- C:\Windows\System32\MaxxAudioAPOShell64.dll
2014-11-20 19:09:12 -------- d-----w- C:\Program Files (x86)\Common Files\Intel Corporation
2014-11-20 19:06:41 16344 ----a-w- C:\Windows\System32\drivers\IntelMEFWVer.dll
2014-11-20 19:06:15 -------- d-----w- C:\Program Files (x86)\Common Files\postureAgent
2014-11-20 19:06:03 99288 ----a-w- C:\Windows\System32\drivers\TeeDriverx64.sys
2014-11-20 19:05:44 12064 ----a-w- C:\Windows\System32\NVMUPEventMsg.dll
2014-11-20 19:05:35 511328 ----a-w- C:\Windows\System32\d3dx10_43.dll
2014-11-20 19:05:35 470880 ----a-w- C:\Windows\SysWow64\d3dx10_43.dll
2014-11-20 19:05:35 276832 ----a-w- C:\Windows\System32\d3dx11_43.dll
2014-11-20 19:05:35 248672 ----a-w- C:\Windows\SysWow64\d3dx11_43.dll
2014-11-20 19:05:35 2401112 ----a-w- C:\Windows\System32\D3DX9_43.dll
2014-11-20 19:05:35 1998168 ----a-w- C:\Windows\SysWow64\D3DX9_43.dll
2014-11-20 19:05:32 1179576 ----a-w- C:\Windows\System32\nvspcap64.dll
2014-11-20 19:05:32 1048152 ----a-w- C:\Windows\SysWow64\nvspcap.dll
2014-11-20 19:05:06 -------- d-----w- C:\Program Files (x86)\NVIDIA Corporation
2014-11-20 19:02:05 53248 ----a-w- C:\Windows\SysWow64\CSVer.dll
2014-11-20 19:00:32 50784 ----a-w- C:\ProgramData\Microsoft\windowsfiltering\Sqm\Manifest\Sqm3.bin
2014-11-20 18:57:26 451 ----a-w- C:\Windows\System32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
2014-11-20 18:52:01 67072 ----a-w- C:\Windows\System32\nv3dappshextr.dll
2014-11-20 18:52:01 63776 ----a-w- C:\Windows\System32\nvshext.dll
2014-11-20 18:52:01 1070368 ----a-w- C:\Windows\System32\nv3dappshext.dll
2014-11-20 18:52:00 922912 ----a-w- C:\Windows\System32\nvvsvc.exe
2014-11-20 18:52:00 6676768 ----a-w- C:\Windows\System32\nvcpl.dll
2014-11-20 18:52:00 386336 ----a-w- C:\Windows\System32\nvmctray.dll
2014-11-20 18:52:00 3554132 ----a-w- C:\Windows\System32\nvcoproc.bin
2014-11-20 18:52:00 3496224 ----a-w- C:\Windows\System32\nvsvc64.dll
2014-11-20 18:52:00 2559776 ----a-w- C:\Windows\System32\nvsvcr.dll
2014-11-20 18:51:30 -------- d-----w- C:\ProgramData\NVIDIA Corporation
2014-11-20 18:51:27 -------- d-----w- C:\Program Files\NVIDIA Corporation
2014-11-20 18:50:14 -------- d-----w- C:\Windows\SysWow64\sda
2014-11-20 18:50:11 9889352 ----a-w- C:\Windows\SysWow64\RtsPerIcon.dll
2014-11-20 18:50:11 423128 ----a-w- C:\Windows\System32\drivers\RtsPer.sys
2014-11-20 18:50:11 -------- d-----w- C:\Program Files (x86)\Realtek
2014-11-20 18:49:24 22168 ----a-w- C:\Windows\System32\drivers\stdcfltn.sys
2014-11-20 18:49:20 -------- d-----w- C:\Program Files\STMicroelectronics
2014-11-20 18:49:19 83456 ----a-w- C:\Windows\System32\drivers\ST_Accel.sys
2014-11-20 18:49:19 67272 ----a-w- C:\Windows\System32\stdcfltnco06.dll
2014-11-20 18:49:19 -------- d-----w- C:\Program Files (x86)\ST Microelectronics
2014-11-20 18:48:59 -------- d-----w- C:\Program Files\Synaptics
2014-11-20 18:48:45 1795952 ----a-w- C:\Windows\System32\WdfCoInstaller01011.dll
2014-11-20 18:48:45 169712 ----a-w- C:\Windows\SysWow64\SynTPCom.dll
2014-11-20 18:48:44 723184 ----a-w- C:\Windows\System32\SynCOM.dll
2014-11-20 18:48:44 422640 ----a-w- C:\Windows\System32\SynTPCo19.dll
2014-11-20 18:48:44 400112 ----a-w- C:\Windows\SysWow64\SynCom.dll
2014-11-20 18:48:43 533744 ----a-w- C:\Windows\System32\drivers\SynTP.sys
2014-11-20 18:48:43 34544 ----a-w- C:\Windows\System32\drivers\Smb_driver_Intel.sys
2014-11-20 18:48:43 251632 ----a-w- C:\Windows\System32\SynTPAPI.dll
2014-11-20 18:44:58 17536 ----a-w- C:\ProgramData\Microsoft\windowssampling\Sqm\Manifest\Sqm3.bin
2014-11-20 18:43:51 82432 ----a-w- C:\Windows\System32\OpenCL.DLL
2014-11-20 18:43:51 74240 ----a-w- C:\Windows\SysWow64\OpenCL.DLL
2014-11-20 18:43:51 -------- d-----w- C:\Intel
2014-11-20 18:43:45 -------- d-----w- C:\Program Files (x86)\Common Files\Intel
2014-10-29 22:00:52 80464 ----a-w- C:\Windows\System32\vmnetbridge.dll
2014-10-29 22:00:52 49232 ----a-w- C:\Windows\System32\vnetinst.dll
2014-10-29 22:00:52 46160 ----a-w- C:\Windows\System32\drivers\vmnetbridge.sys
2014-10-29 22:00:52 24656 ----a-w- C:\Windows\System32\drivers\vmnet.sys
2014-10-29 22:00:52 20560 ----a-w- C:\Windows\System32\drivers\vmnetadapter.sys
.
==================== Find3M  ====================
.
2014-11-20 19:13:19 1536 ----a-w- C:\Windows\SysWow64\RtkMsgs.dll
2014-10-30 00:55:02 714208 ----a-w- C:\Windows\SysWow64\FlashPlayerApp.exe
2014-10-30 00:55:02 106976 ----a-w- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2014-10-15 13:14:14 357376 ----a-w- C:\Windows\System32\ssleay32.dll
2014-10-15 13:14:14 357376 ----a-w- C:\Windows\System32\libssl32.dll
2014-10-15 13:13:58 1651712 ----a-w- C:\Windows\System32\libeay32.dll
2014-10-03 22:36:56 183296 ----a-w- C:\Windows\System32\igfxCoIn_v3960.dll
2014-10-03 22:36:30 17284400 ----a-w- C:\Windows\System32\igd11dxva64.dll
2014-10-03 22:36:28 16810624 ----a-w- C:\Windows\SysWow64\igd11dxva32.dll
2014-10-03 22:36:16 94208 ----a-w- C:\Windows\System32\IccLibDll_x64.dll
2014-10-03 22:36:16 1131008 ----a-w- C:\Windows\System32\GfxResources.dll
.
============= FINISH: 11:24:40.99 ===============


#4 Newgonhowzter

Newgonhowzter
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:15 AM

Posted 26 November 2014 - 01:39 PM

Just some follow up from my last post. Here are some of the new information I have come across since my last post.

-All computers have the same PCI devices installed (PCI to Host bridges, multiple)

-All computers BIOS is listed as American Megatrend (various BIOS none are AMI)

-All PC's have the same XMEM ranges set, same BIOS PCI/SM bus information

-After new hard drive and fresh install on windows with the OEM DVD windows defender will detect malware/Trojan prior to the device ever being hooked up to the internet

-PC will have special firewall rules for IPV6/RPC/Remote management/BITS, all of which if disabled will become enabled upon restart

-Install is always a PE install, limiting my restrictions

-Any registry/Gpedit.msc changes made to improve security are reverted upon restart

-performed full offline windows update, always fails and is rolled back. Cannot perform successful update on any PC even when eventually updated to the network.

I have attempted to limit all variable, I purchased new RAM/HD and router. Disconnected all PC's physically from the network prior to attempting the above. When booting from OEM DVD and no hard drive attached I can access the RAM and see many free DOS programs loaded. Such as:
-Unformat.exe

-Undelete.exe

-Undel86.exe

-DOSLFN.com

-Debug98.com

-LOWDMA.com

-NSET.com

-XMSSIZE.com

-TICKLE.COM

-SYS.COM

 

Next post contains ACPI Bios information. 



#5 polskamachina

polskamachina

  • Malware Response Team
  • 4,068 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:01:15 AM

Posted 26 November 2014 - 10:50 PM

Hi Newgonhowtzer :)

 
I am polskamachina and I will be assisting you with your malware problems. What follows below are some ground rules for this forum.

I will reply as soon as possible (typically within 24-48 hours). In turn, I ask that you please respond within 72 hours. If you know you will be away longer than that, please let me know. I am in California at GMT-8 Hours (Pacific Standard Time). If I do not respond to you within 48 hours, feel free to send me a private message.

Some points for you to keep in mind:

  • Do NOT run any tools unless instructed to do so.
  • We ask you to run different tools in a specific order to ensure the malware is completely removed from your machine, and running any additional tools may detect false positives, interfere with our tools, or cause unforeseen damage or system instability.
  • Do not attach logs or use code boxes, just copy and paste the text.
  • I cannot see your computer. Periodically update me on the condition of your computer, and provide as much detail as you can in every post.
  • Once things seem to be working again, please do not abandon the thread. I will give an "all-clean" message at the very end.
  • NOTE: Backup any files that cannot be replaced. Removing malware can be unpredictable and this step can save a lot of heartaches if things don't go as planned. You can put them on a CD/DVD, external drive or a flash drive, anywhere except on the computer.
  • NOTE: It is good practice to copy and paste the instructions into notepad and print them in case it is necessary for you to go offline during the cleanup process. Please remember to copy the entire post so you do not miss any instructions.

Please give me some time to review your situation and I will get back to you with further instructions.

 

polskamachina



#6 polskamachina

polskamachina

  • Malware Response Team
  • 4,068 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:01:15 AM

Posted 29 November 2014 - 03:48 AM

Hi Newgonhowzter :)

 

Due to the fact you have so much information to review, it's taking me a bit longer than usual to sort all of this out.

 

I have a few questions. I noticed you said that GMER has detected rootkit activity and Windows Defender detects malware/Trojan. Are there any other diagnostic programs you have run that point to a specific malware problem? Can you describe any changes in the way your computers are behaving that would make it very obvious that something is wrong. For example, is the system slowing down? Are you having difficulty running programs? Can you browse the internet and navigate to the sites you want to go to without redirection or interruption?

 

polskamachina

 

 



#7 polskamachina

polskamachina

  • Malware Response Team
  • 4,068 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:01:15 AM

Posted 30 November 2014 - 01:55 PM

Hi Newgonhowzter :)

Let's have a look at what GMER is reporting.
 
Please download GMER from one of the following locations and save it to your desktop:
 
Main Mirror which will download a randomly named file
Zipped Mirror - Unzip the file to its own folder such as C:\gmer
Disconnect from the Internet and close all running programs
Temporarily disable any real-time active protection
It is very important you do not use your computer while GMER is running
Double-click on the randomly named GMER gmericon_zps951fd5aa.jpg icon
GMER will open to the Rootkit/Malware tab and perform an automatic quick scan
If you receive a warning about rootkit activity and are asked to fully scan your system click NO
Please check in the Quick scan box
Please uncheck the following boxes if they are checked:

IAT/EAT
Show All <<< Important


GMER2new_zpsdd936679.jpg
Click Scan
If you see a rootkit warning window click OK.
When the scan is finished, Save the results to your desktop as gmer.log
Click Copy, then paste the results in your next reply to me.
Exit GMER and be sure to re-enable your Antivirus, Firewall and any other security programs you had disabled.

Note:
If you encounter any problems, try running GMER in Safe Mode
If GMER crashes or keeps resulting in a Blue Screen of Death, uncheck Devices on the right side before scanning.
 
Let me know if you have any questions.
 
polskamachina



#8 Newgonhowzter

Newgonhowzter
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:15 AM

Posted 02 December 2014 - 02:58 PM

The show all button is grayed out in safe mode as well as standard mode. I also get an error message at start up:

 

"C:\windows\system32\config\system The process cannot access the file because it is being used by another process"

 

 

Here is the log:

 

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-12-02 12:55:19
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\00000044 WDC_____ rev.01.0 931.51GB
Running: wdf47vfm.exe; Driver: C:\Users\adamr\AppData\Local\Temp\kxdyrpoc.sys
 
 
---- User code sections - GMER 2.1 ----
 
.text   C:\Windows\system32\nvvsvc.exe[1228] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506                           00007ffacbd7169a 4 bytes [D7, CB, FA, 7F]
.text   C:\Windows\system32\nvvsvc.exe[1228] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514                           00007ffacbd716a2 4 bytes [D7, CB, FA, 7F]
.text   C:\Windows\system32\nvvsvc.exe[1228] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118                              00007ffacbd7181a 4 bytes [D7, CB, FA, 7F]
.text   C:\Windows\system32\nvvsvc.exe[1228] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142                              00007ffacbd71832 4 bytes [D7, CB, FA, 7F]
.text   C:\Program Files\Microsoft Office\Office15\MsoSync.exe[5740] C:\Windows\system32\USER32.dll!BeginPaint                00007ffaca691050 8 bytes JMP 00007ffb8a690238
.text   C:\Program Files\Microsoft Office\Office15\MsoSync.exe[5740] C:\Windows\system32\USER32.dll!ValidateRect              00007ffaca691330 8 bytes JMP 00007ffb8a690298
.text   C:\Program Files\Microsoft Office\Office15\MsoSync.exe[5740] C:\Windows\system32\USER32.dll!RegisterClipboardFormatW  00007ffaca6948e0 9 bytes JMP 00007ffb8a6901d8
.text   C:\Program Files\Microsoft Office\Office15\MsoSync.exe[5740] C:\Windows\system32\USER32.dll!RegisterClipboardFormatA  00007ffaca69bbe0 5 bytes JMP 00007ffb8a690178
.text   C:\Program Files\Microsoft Office\Office15\MsoSync.exe[5740] C:\Windows\system32\SHELL32.DLL!SHParseDisplayName       00007ffaca96c8a8 5 bytes JMP 00007ffb8a6904d8
.text   \\?\C:\Windows\system32\wbem\WMIADAP.EXE[5200] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506                 00007ffacbd7169a 4 bytes [D7, CB, FA, 7F]
.text   \\?\C:\Windows\system32\wbem\WMIADAP.EXE[5200] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514                 00007ffacbd716a2 4 bytes [D7, CB, FA, 7F]
.text   \\?\C:\Windows\system32\wbem\WMIADAP.EXE[5200] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118                    00007ffacbd7181a 4 bytes [D7, CB, FA, 7F]
.text   \\?\C:\Windows\system32\wbem\WMIADAP.EXE[5200] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142                    00007ffacbd71832 4 bytes [D7, CB, FA, 7F]
 
---- Threads - GMER 2.1 ----
 
Thread  C:\Windows\system32\csrss.exe [856:880]                                                                               fffff960009c24d0
 
---- Disk sectors - GMER 2.1 ----
 
Disk    \Device\Harddisk0\DR0                                                                                                 unknown MBR code
 
---- EOF - GMER 2.1 ----


#9 Newgonhowzter

Newgonhowzter
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:15 AM

Posted 02 December 2014 - 03:20 PM

I was able to get it to show all, this is the best I can do. I do get an error and am forced to close no matter how I run it. I timed it to hit "COPY" just before the program is forced closed. The list does triple (or more) prior to being forced closed but I cannot copy the log once the error pops up. Here is what I was able to get, it does show some good information:

 

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-12-02 13:12:26
Windows 6.3.9600  x64 \Device\Harddisk0\DR0 -> \Device\00000044 WDC_____ rev.01.0 931.51GB
Running: wdf47vfm.exe; Driver: C:\Users\adamr\AppData\Local\Temp\kxdyrpoc.sys
 
 
---- System - GMER 2.1 ----
 
SSDT   ZwAcceptConnectPort                                                                 fffff8035c934c88 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAccessCheck                                                                       fffff8035c4aff6c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwAccessCheckAndAuditAlarm                                                          fffff8035c92ba48 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAccessCheckByType                                                                 fffff8035c5848c0 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwAccessCheckByTypeAndAuditAlarm                                                    fffff8035c8114bc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAccessCheckByTypeResultList                                                       fffff8035c690870 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwAccessCheckByTypeResultListAndAuditAlarm                                          fffff8035c9695e4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAccessCheckByTypeResultListAndAuditAlarmByHandle                                  fffff8035ca9dabc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAddAtom                                                                           fffff8035cabcbec \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAddAtomEx                                                                         fffff8035c922578 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAddBootEntry                                                                      fffff8035cab8d70 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAddDriverEntry                                                                    fffff8035cab8d90 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAdjustGroupsToken                                                                 fffff8035c92a310 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAdjustPrivilegesToken                                                             fffff8035c8a22d0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAdjustTokenClaimsAndDeviceGroups                                                  fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlertResumeThread                                                                 fffff8035ca90224 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlertThread                                                                       fffff8035c93fd1c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlertThreadByThreadId                                                             fffff8035c90cb94 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAllocateLocallyUniqueId                                                           fffff8035c8ffe8c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAllocateReserveObject                                                             fffff8035c99f15c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAllocateUserPhysicalPages                                                         fffff8035ca7ce2c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAllocateUuids                                                                     fffff8035c90c624 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAllocateVirtualMemory                                                             fffff8035c838ee0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcAcceptConnectPort                                                             fffff8035c80d79c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcCancelMessage                                                                 fffff8035c8f639c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcConnectPort                                                                   fffff8035c92f77c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcConnectPortEx                                                                 fffff8035c930a34 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcCreatePort                                                                    fffff8035c92c768 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcCreatePortSection                                                             fffff8035c927a80 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcCreateResourceReserve                                                         fffff8035c91b8f0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcCreateSectionView                                                             fffff8035c8a74cc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcCreateSecurityContext                                                         fffff8035c8b7e68 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcDeletePortSection                                                             fffff8035c929840 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcDeleteResourceReserve                                                         fffff8035ca76344 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcDeleteSectionView                                                             fffff8035c8a4f84 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcDeleteSecurityContext                                                         fffff8035c8a7374 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcDisconnectPort                                                                fffff8035c8a48ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcImpersonateClientOfPort                                                       fffff8035c824e88 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcOpenSenderProcess                                                             fffff8035c928010 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcOpenSenderThread                                                              fffff8035c899868 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcQueryInformation                                                              fffff8035c9233c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcQueryInformationMessage                                                       fffff8035c920e64 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcRevokeSecurityContext                                                         fffff8035ca76568 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcSendWaitReceivePort                                                           fffff8035c821a50 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAlpcSetInformation                                                                fffff8035c8f6de0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwApphelpCacheControl                                                               fffff8035c851230 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAreMappedFilesTheSame                                                             fffff8035c939d6c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAssignProcessToJobObject                                                          fffff8035c8f7eb4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwAssociateWaitCompletionPacket                                                     fffff8035c516808 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCallbackReturn                                                                    fffff8035c5d6640 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCancelIoFile                                                                      fffff8035c91e040 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCancelIoFileEx                                                                    fffff8035c91e210 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCancelSynchronousIoFile                                                           fffff8035c94a804 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCancelTimer                                                                       fffff8035c535c98 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCancelTimer2                                                                      fffff8035c517c64 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCancelWaitCompletionPacket                                                        fffff8035c515ae8 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwClearEvent                                                                        fffff8035c8fc018 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwClose                                                                             fffff8035c833290 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCloseObjectAuditAlarm                                                             fffff8035c9232d4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCommitComplete                                                                    fffff8035c4a85cc \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCommitEnlistment                                                                  fffff8035c4a85d4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCommitTransaction                                                                 fffff8035c4a85dc \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCompactKeys                                                                       fffff8035ca37f00 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCompareTokens                                                                     fffff8035c80a1a0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCompleteConnectPort                                                               fffff8035c9357ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCompressKey                                                                       fffff8035ca38118 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwConnectPort                                                                       fffff8035c8fa18c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwContinue                                                                          fffff8035c5d3320 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCreateDebugObject                                                                 fffff8035ca4b650 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateDirectoryObject                                                             fffff8035c920034 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateDirectoryObjectEx                                                           fffff8035c92002c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateEnlistment                                                                  fffff8035c4a85e4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCreateEvent                                                                       fffff8035c825630 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateEventPair                                                                   fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateFile                                                                        fffff8035c825c1c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateIRTimer                                                                     fffff8035c9a0e68 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateIoCompletion                                                                fffff8035c8a449c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateJobObject                                                                   fffff8035c934d30 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateJobSet                                                                      fffff8035c9a1344 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateKey                                                                         fffff8035c8893f0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateKeyTransacted                                                               fffff8035c889288 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateKeyedEvent                                                                  fffff8035c996fe8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateLowBoxToken                                                                 fffff8035c8083c8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateMailslotFile                                                                fffff8035c958190 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateMutant                                                                      fffff8035c8808c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateNamedPipeFile                                                               fffff8035c92bb14 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreatePagingFile                                                                  fffff8035c9933e4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreatePort                                                                        fffff8035c95e374 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreatePrivateNamespace                                                            fffff8035c803e88 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateProcess                                                                     fffff8035ca8e06c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateProcessEx                                                                   fffff8035ca8e0dc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateProfile                                                                     fffff8035cabe35c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateProfileEx                                                                   fffff8035cabe430 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateResourceManager                                                             fffff8035c4a85ec \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCreateSection                                                                     fffff8035c81a8cc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateSemaphore                                                                   fffff8035c8c1cf0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateSymbolicLinkObject                                                          fffff8035c932fa4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateThread                                                                      fffff8035ca8e158 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateThreadEx                                                                    fffff8035c8beea0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateTimer                                                                       fffff8035c8c372c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateTimer2                                                                      fffff8035c948828 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateToken                                                                       fffff8035ca9e4bc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateTokenEx                                                                     fffff8035c8a2b34 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateTransaction                                                                 fffff8035c4a85f4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCreateTransactionManager                                                          fffff8035c4a85fc \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwCreateUserProcess                                                                 fffff8035c8bd5ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateWaitCompletionPacket                                                        fffff8035c91df44 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateWaitablePort                                                                fffff8035c96f100 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateWnfStateName                                                                fffff8035c8912ec \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwCreateWorkerFactory                                                               fffff8035c8a4194 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDebugActiveProcess                                                                fffff8035ca4b818 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDebugContinue                                                                     fffff8035ca4b9c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDelayExecution                                                                    fffff8035c8b4dd0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteAtom                                                                        fffff8035c931190 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteBootEntry                                                                   fffff8035cab8db0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteDriverEntry                                                                 fffff8035cab8fd0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteFile                                                                        fffff8035c96ed34 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteKey                                                                         fffff8035c8671e0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteObjectAuditAlarm                                                            fffff8035c94792c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeletePrivateNamespace                                                            fffff8035c803920 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteValueKey                                                                    fffff8035c9215c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteWnfStateData                                                                fffff8035c99c58c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeleteWnfStateName                                                                fffff8035c894ebc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDeviceIoControlFile                                                               fffff8035c830d24 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDisableLastKnownGood                                                              fffff8035c96f160 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDisplayString                                                                     fffff8035cab2f60 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDrawText                                                                          fffff8035c6b2e04 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwDuplicateObject                                                                   fffff8035c8c1fa8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwDuplicateToken                                                                    fffff8035c811660 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwEnableLastKnownGood                                                               fffff8035c96dcc0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwEnumerateBootEntries                                                              fffff8035cab91f0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwEnumerateDriverEntries                                                            fffff8035cab9814 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwEnumerateKey                                                                      fffff8035c84908c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwEnumerateSystemEnvironmentValuesEx                                                fffff8035cab9d64 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwEnumerateTransactionObject                                                        fffff8035c4a8604 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwEnumerateValueKey                                                                 fffff8035c8af3f0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwExtendSection                                                                     fffff8035ca7a5dc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFilterBootOption                                                                  fffff8035ca9ed04 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFilterToken                                                                       fffff8035c8075fc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFilterTokenEx                                                                     fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFindAtom                                                                          fffff8035c8a9e00 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFlushBuffersFile                                                                  fffff8035c927640 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFlushBuffersFileEx                                                                fffff8035c92765c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFlushInstallUILanguage                                                            fffff8035c99e95c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFlushInstructionCache                                                             fffff8035c9357ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFlushKey                                                                          fffff8035c93999c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFlushProcessWriteBuffers                                                          fffff8035c51ad9c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwFlushVirtualMemory                                                                fffff8035c8fece0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFlushWriteBuffer                                                                  fffff8035ca7e950 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFreeUserPhysicalPages                                                             fffff8035ca7d5b4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwFreeVirtualMemory                                                                 fffff8035c4c8990 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwFreezeRegistry                                                                    fffff8035c640f50 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwFreezeTransactions                                                                fffff8035c4a860c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwFsControlFile                                                                     fffff8035c8a09cc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetCachedSigningLevel                                                             fffff8035c94968c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetCompleteWnfStateSubscription                                                   fffff8035c891cec \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetContextThread                                                                  fffff8035c8c3b70 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetCurrentProcessorNumber                                                         fffff8035c928580 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetDevicePowerState                                                               fffff8035ca89188 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetMUIRegistryInfo                                                                fffff8035c91e380 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetNextProcess                                                                    fffff8035c9612e8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetNextThread                                                                     fffff8035ca90c54 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetNlsSectionPtr                                                                  fffff8035c93eb6c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwGetNotificationResourceManager                                                    fffff8035c4a8614 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwGetWriteWatch                                                                     fffff8035c4c23f0 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwImpersonateAnonymousToken                                                         fffff8035c80a5f4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwImpersonateClientOfPort                                                           fffff8035ca75238 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwImpersonateThread                                                                 fffff8035c91fa84 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwInitializeNlsFiles                                                                fffff8035c923850 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwInitializeRegistry                                                                fffff8035c974b7c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwInitiatePowerAction                                                               fffff8035c94eae4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwIsProcessInJob                                                                    fffff8035c8f7dd4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwIsSystemResumeAutomatic                                                           fffff8035c95ff7c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwIsUILanguageComitted                                                              fffff8035c942b30 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwListenPort                                                                        fffff8035c99f7f4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLoadDriver                                                                        fffff8035c93da80 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLoadKey                                                                           fffff8035c95f954 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLoadKey2                                                                          fffff8035c975074 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLoadKeyEx                                                                         fffff8035c9062c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLockFile                                                                          fffff8035c80c234 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLockProductActivationKeys                                                         fffff8035c968db0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLockRegistryKey                                                                   fffff8035c96b6f4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwLockVirtualMemory                                                                 fffff8035c57b454 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwMakePermanentObject                                                               fffff8035c95622c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwMakeTemporaryObject                                                               fffff8035c93a558 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwMapCMFModule                                                                      fffff8035c91e74c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwMapUserPhysicalPages                                                              fffff8035ca7da78 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwMapUserPhysicalPagesScatter                                                       fffff8035ca7e074 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwMapViewOfSection                                                                  fffff8035c83b7d0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwModifyBootEntry                                                                   fffff8035caba14c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwModifyDriverEntry                                                                 fffff8035caba168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwNotifyChangeDirectoryFile                                                         fffff8035c929d14 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwNotifyChangeKey                                                                   fffff8035c9038f4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwNotifyChangeMultipleKeys                                                          fffff8035c90395c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwNotifyChangeSession                                                               fffff8035c942198 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenDirectoryObject                                                               fffff8035c91a474 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenEnlistment                                                                    fffff8035c4a861c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwOpenEvent                                                                         fffff8035c91b784 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenEventPair                                                                     fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenFile                                                                          fffff8035c825568 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenIoCompletion                                                                  fffff8035ca56e14 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenJobObject                                                                     fffff8035ca904ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenKey                                                                           fffff8035c825c9c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenKeyEx                                                                         fffff8035c827b3c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenKeyTransacted                                                                 fffff8035ca38298 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenKeyTransactedEx                                                               fffff8035c927ca0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenKeyedEvent                                                                    fffff8035cabe7d8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenMutant                                                                        fffff8035c919594 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenObjectAuditAlarm                                                              fffff8035c9539a8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenPrivateNamespace                                                              fffff8035c8042f4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenProcess                                                                       fffff8035c8240e4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenProcessToken                                                                  fffff8035c8248fc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenProcessTokenEx                                                                fffff8035c824908 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenResourceManager                                                               fffff8035c4a8624 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwOpenSection                                                                       fffff8035c919514 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenSemaphore                                                                     fffff8035c935708 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenSession                                                                       fffff8035c9416bc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenSymbolicLinkObject                                                            fffff8035c91d160 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenThread                                                                        fffff8035c89a5d0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenThreadToken                                                                   fffff8035c81977c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenThreadTokenEx                                                                 fffff8035c819794 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenTimer                                                                         fffff8035cab52a4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwOpenTransaction                                                                   fffff8035c4a862c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwOpenTransactionManager                                                            fffff8035c4a8634 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwPlugPlayControl                                                                   fffff8035c854314 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwPowerInformation                                                                  fffff8035c88c15c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwPrePrepareComplete                                                                fffff8035c4a863c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwPrePrepareEnlistment                                                              fffff8035c4a8644 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwPrepareComplete                                                                   fffff8035c4a864c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwPrepareEnlistment                                                                 fffff8035c4a8654 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwPrivilegeCheck                                                                    fffff8035c8a1194 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwPrivilegeObjectAuditAlarm                                                         fffff8035c96b934 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwPrivilegedServiceAuditAlarm                                                       fffff8035c93a0cc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwPropagationComplete                                                               fffff8035c4a865c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwPropagationFailed                                                                 fffff8035c4a8664 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwProtectVirtualMemory                                                              fffff8035c83c838 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwPulseEvent                                                                        fffff8035c887ad0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryAttributesFile                                                               fffff8035c8f39b8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryBootEntryOrder                                                               fffff8035caba184 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryBootOptions                                                                  fffff8035caba484 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryDebugFilterState                                                             fffff8035c5804ec \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwQueryDefaultLocale                                                                fffff8035c9257c0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryDefaultUILanguage                                                            fffff8035c957588 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryDirectoryFile                                                                fffff8035c8f52c0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryDirectoryObject                                                              fffff8035c8f9a20 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryDriverEntryOrder                                                             fffff8035caba814 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryEaFile                                                                       fffff8035c93a9c8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryEvent                                                                        fffff8035c91f970 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryFullAttributesFile                                                           fffff8035c8f36cc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationAtom                                                              fffff8035c922ecc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationEnlistment                                                        fffff8035c4a866c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwQueryInformationFile                                                              fffff8035c82bed0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationJobObject                                                         fffff8035c8df7a8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationPort                                                              fffff8035ca75258 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationProcess                                                           fffff8035c8b9218 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationResourceManager                                                   fffff8035c4a8674 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwQueryInformationThread                                                            fffff8035c887e40 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationToken                                                             fffff8035c84aff0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryInformationTransaction                                                       fffff8035c4a867c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwQueryInformationTransactionManager                                                fffff8035c4a8684 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwQueryInformationWorkerFactory                                                     fffff8035c6b4ee0 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwQueryInstallUILanguage                                                            fffff8035c93e3d8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryIntervalProfile                                                              fffff8035c94ad2c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryIoCompletion                                                                 fffff8035c9671dc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryKey                                                                          fffff8035c846770 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryLicenseValue                                                                 fffff8035c8e8ee0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryMultipleValueKey                                                             fffff8035c92b630 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryMutant                                                                       fffff8035cabdc6c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryObject                                                                       fffff8035c8b0d2c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryOpenSubKeys                                                                  fffff8035ca38490 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryOpenSubKeysEx                                                                fffff8035c9659c0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryPerformanceCounter                                                           fffff8035c8f9fa4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryPortInformationProcess                                                       fffff8035ca8e5ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryQuotaInformationFile                                                         fffff8035ca5820c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySection                                                                      fffff8035c8bb2a8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySecurityAttributesToken                                                      fffff8035c851aac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySecurityObject                                                               fffff8035c8740fc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySemaphore                                                                    fffff8035c946bcc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySymbolicLinkObject                                                           fffff8035c91a148 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySystemEnvironmentValue                                                       fffff8035cabac70 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySystemEnvironmentValueEx                                                     fffff8035c974d28 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySystemInformation                                                            fffff8035c8343e0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySystemInformationEx                                                          fffff8035c927f34 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQuerySystemTime                                                                   fffff8035c584bf8 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwQueryTimer                                                                        fffff8035cab5348 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryTimerResolution                                                              fffff8035c93c6a8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryValueKey                                                                     fffff8035c8471a0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryVirtualMemory                                                                fffff8035c83bb90 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryVolumeInformationFile                                                        fffff8035c841fe0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryWnfStateData                                                                 fffff8035c891864 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueryWnfStateNameInformation                                                      fffff8035c895304 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueueApcThread                                                                    fffff8035c92a024 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwQueueApcThreadEx                                                                  fffff8035c92a04c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRaiseException                                                                    fffff8035c5d3560 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRaiseHardError                                                                    fffff8035cabc87c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReadFile                                                                          fffff8035c82b1c0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReadFileScatter                                                                   fffff8035c91c2d0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReadOnlyEnlistment                                                                fffff8035c4a868c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwReadRequestData                                                                   fffff8035ca75314 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReadVirtualMemory                                                                 fffff8035c83d954 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRecoverEnlistment                                                                 fffff8035c4a8694 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRecoverResourceManager                                                            fffff8035c4a869c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRecoverTransactionManager                                                         fffff8035c4a86a4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRegisterProtocolAddressInformation                                                fffff8035c4a87ec \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRegisterThreadTerminatePort                                                       fffff8035c9449d8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReleaseKeyedEvent                                                                 fffff8035c941058 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReleaseMutant                                                                     fffff8035c8b4008 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReleaseSemaphore                                                                  fffff8035c8b4b40 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReleaseWorkerFactoryWorker                                                        fffff8035c514dd0 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRemoveIoCompletion                                                                fffff8035c8b391c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRemoveIoCompletionEx                                                              fffff8035c92a1b4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRemoveProcessDebug                                                                fffff8035ca4bc14 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRenameKey                                                                         fffff8035ca386d8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRenameTransactionManager                                                          fffff8035c4a87f4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwReplaceKey                                                                        fffff8035ca38cec \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReplacePartitionUnit                                                              fffff8035c6b907c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwReplyPort                                                                         fffff8035c8fa098 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReplyWaitReceivePort                                                              fffff8035c8fb398 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReplyWaitReceivePortEx                                                            fffff8035c8fb3ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwReplyWaitReplyPort                                                                fffff8035ca75398 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRequestPort                                                                       fffff8035c927998 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRequestWaitReplyPort                                                              fffff8035c91b5f4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwResetEvent                                                                        fffff8035c92ae68 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwResetWriteWatch                                                                   fffff8035c4c5a20 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRestoreKey                                                                        fffff8035ca391bc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwResumeProcess                                                                     fffff8035ca902fc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwResumeThread                                                                      fffff8035c8ffd84 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwRollbackComplete                                                                  fffff8035c4a86ac \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRollbackEnlistment                                                                fffff8035c4a86b4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRollbackTransaction                                                               fffff8035c4a86bc \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwRollforwardTransactionManager                                                     fffff8035c4a87fc \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSaveKey                                                                           fffff8035ca39630 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSaveKeyEx                                                                         fffff8035ca39a04 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSaveMergedKeys                                                                    fffff8035ca39e40 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSecureConnectPort                                                                 fffff8035c8fa1d4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSerializeBoot                                                                     fffff8035c99ef3c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetBootEntryOrder                                                                 fffff8035cabb048 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetBootOptions                                                                    fffff8035cabb2d8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetCachedSigningLevel                                                             fffff8035c932d10 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetContextThread                                                                  fffff8035c95fa88 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetDebugFilterState                                                               fffff8035c98b54c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetDefaultHardErrorPort                                                           fffff8035c99f2a4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetDefaultLocale                                                                  fffff8035c96d3c8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetDefaultUILanguage                                                              fffff8035c96c538 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetDriverEntryOrder                                                               fffff8035cabb570 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetEaFile                                                                         fffff8035ca57c98 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetEvent                                                                          fffff8035c8b3f48 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetEventBoostPriority                                                             fffff8035cab54a4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetHighEventPair                                                                  fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetHighWaitLowEventPair                                                           fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetIRTimer                                                                        fffff8035c58ef6c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetInformationDebugObject                                                         fffff8035ca4bd00 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationEnlistment                                                          fffff8035c4a86c4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetInformationFile                                                                fffff8035c4c4470 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetInformationJobObject                                                           fffff8035c8dcb4c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationKey                                                                 fffff8035c8af000 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationObject                                                              fffff8035c91da58 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationProcess                                                             fffff8035c874f88 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationResourceManager                                                     fffff8035c4a86cc \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetInformationThread                                                              fffff8035c825cb4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationToken                                                               fffff8035c8a13c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationTransaction                                                         fffff8035c4a86d4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetInformationTransactionManager                                                  fffff8035c4a8804 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetInformationVirtualMemory                                                       fffff8035c89d6b4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetInformationWorkerFactory                                                       fffff8035c4bebe0 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetIntervalProfile                                                                fffff8035c94b6c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetIoCompletion                                                                   fffff8035c91c1b8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetIoCompletionEx                                                                 fffff8035ca56f24 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetLdtEntries                                                                     fffff8035c5dfe38 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetLowEventPair                                                                   fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetLowWaitHighEventPair                                                           fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetQuotaInformationFile                                                           fffff8035ca58ad0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetSecurityObject                                                                 fffff8035c80f6c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetSystemEnvironmentValue                                                         fffff8035cabb800 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetSystemEnvironmentValueEx                                                       fffff8035cabbbd0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetSystemInformation                                                              fffff8035c899c44 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetSystemPowerState                                                               fffff8035c7e84fc \SystemRoot\system32\ntoskrnl.exe [PAGELK]
SSDT   ZwSetSystemTime                                                                     fffff8035c94ba98 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetThreadExecutionState                                                           fffff8035c889bc4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetTimer                                                                          fffff8035c51b75c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetTimer2                                                                         fffff8035c517d24 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetTimerEx                                                                        fffff8035c51b868 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSetTimerResolution                                                                fffff8035c8e3aa0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetUuidSeed                                                                       fffff8035c99807c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetValueKey                                                                       fffff8035c87209c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetVolumeInformationFile                                                          fffff8035c95aef8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSetWnfProcessNotificationEvent                                                    fffff8035c8962fc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwShutdownSystem                                                                    fffff8035cab3104 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwShutdownWorkerFactory                                                             fffff8035c58c230 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSignalAndWaitForSingleObject                                                      fffff8035c58ec58 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwSinglePhaseReject                                                                 fffff8035c4a880c \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwStartProfile                                                                      fffff8035cabe48c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwStopProfile                                                                       fffff8035cabe6f0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSubscribeWnfStateChange                                                           fffff8035c8924a0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSuspendProcess                                                                    fffff8035ca90364 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSuspendThread                                                                     fffff8035c94d408 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwSystemDebugControl                                                                fffff8035cabfe44 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwTerminateJobObject                                                                fffff8035c8f7af4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwTerminateProcess                                                                  fffff8035c877150 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwTerminateThread                                                                   fffff8035c8787ac \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwTestAlert                                                                         fffff8035c8c38b0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwThawRegistry                                                                      fffff8035c640fa4 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwThawTransactions                                                                  fffff8035c4a86dc \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwTraceControl                                                                      fffff8035c8792f0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwTraceEvent                                                                        fffff8035c4de8e0 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwTranslateFilePath                                                                 fffff8035cabbe3c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUmsThreadYield                                                                    fffff8035ca70ff0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnloadDriver                                                                      fffff8035ca5a8c4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnloadKey                                                                         fffff8035c967010 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnloadKey2                                                                        fffff8035c96bb8c \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnloadKeyEx                                                                       fffff8035c900bf8 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnlockFile                                                                        fffff8035c926624 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnlockVirtualMemory                                                               fffff8035c551ce0 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwUnmapViewOfSection                                                                fffff8035c929678 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnmapViewOfSectionEx                                                              fffff8035c8376d4 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUnsubscribeWnfStateChange                                                         fffff8035c891118 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwUpdateWnfStateData                                                                fffff8035c892978 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwVdmControl                                                                        fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitForAlertByThreadId                                                            fffff8035c9004ec \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitForDebugEvent                                                                 fffff8035ca4bf00 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitForKeyedEvent                                                                 fffff8035c9412dc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitForMultipleObjects                                                            fffff8035c8b3228 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitForMultipleObjects32                                                          fffff8035c8b30bc \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitForSingleObject                                                               fffff8035c82e3c0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitForWorkViaWorkerFactory                                                       fffff8035c527a30 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwWaitHighEventPair                                                                 fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWaitLowEventPair                                                                  fffff8035c9a1168 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWorkerFactoryWorkerReady                                                          fffff8035c584bf8 \SystemRoot\system32\ntoskrnl.exe [.text]
SSDT   ZwWriteFile                                                                         fffff8035c8afc48 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWriteFileGather                                                                   fffff8035c91c978 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWriteRequestData                                                                  fffff8035ca75438 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwWriteVirtualMemory                                                                fffff8035c92a2f0 \SystemRoot\system32\ntoskrnl.exe [PAGE]
SSDT   ZwYieldExecution                                                                    fffff8035c536d6c \SystemRoot\system32\ntoskrnl.exe [.text]
 
---- User code sections - GMER 2.1 ----
 
.text  C:\Windows\Explorer.EXE[1028] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 714    00007ffa81c4154a 4 bytes [C4, 81, FA, 7F]
.text  C:\Windows\Explorer.EXE[1028] C:\Windows\SYSTEM32\MSIMG32.dll!GradientFill + 722    00007ffa81c41552 4 bytes [C4, 81, FA, 7F]
.text  C:\Windows\Explorer.EXE[1028] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 98   00007ffa81c4162a 4 bytes [C4, 81, FA, 7F]
.text  C:\Windows\Explorer.EXE[1028] C:\Windows\SYSTEM32\MSIMG32.dll!TransparentBlt + 122  00007ffa81c41642 4 bytes [C4, 81, FA, 7F]
 
The instruction at 0x00401aa referenced memory at 0x20323441. The memory could not be read.
 
Click on ok to terminate the program


#10 Newgonhowzter

Newgonhowzter
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:15 AM

Posted 02 December 2014 - 05:10 PM

Hi polskamachina,

​Thank you for your assistance thus far. Diagnostics is tough, I have been formatting hard drives and re-installing windows repeatedly on all of my PC's. Typically, the longer the PC is online the more malware activity I will find, once removed it typically stays removed for several days. It is always a different Trojan/virus etc each time and is never the same. All of my PC's have dramatically slowed down, I am constantly redirected to advertising sites, I will usually be warned that the sites certificate is not valid as it is not effective until 2020 (www.google.com/www.msn.com or literally any site I may browse directly too from any browser). I have used many programs and live rescue DVD's, usually minor malware is detected, occasionally a trojan but never anything substantial.  I removed the hard drive from my PC, booted from a live DVD, setup a new in box router and was still getting these warnings when browsing and able to detect malware in my browsing cache which would be my ram drive prior to going to any actual sites. 
 

Please let me know what information you would like next.

Regards,

Newgonhowzter



#11 polskamachina

polskamachina

  • Malware Response Team
  • 4,068 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:01:15 AM

Posted 02 December 2014 - 06:19 PM

Hi Newgonhowzter :)

 

Thanks for the GMER logs and the specific details regarding how your pc is being affected.

 

I will review all of this and get back to you.

 

polskamachina



#12 polskamachina

polskamachina

  • Malware Response Team
  • 4,068 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:01:15 AM

Posted 04 December 2014 - 03:09 AM

Hi Newgonhowtzer :)

 

Regarding your statement:

I am constantly redirected to advertising sites

 

Can you please give me an example of the name of a specific site that you're trying to access and then tell me the name of site to which you're directed? That kind of an example would be really helpful to pinpoint the trouble.

 

polskamachina



#13 Newgonhowzter

Newgonhowzter
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:03:15 AM

Posted 04 December 2014 - 02:33 PM

Currently right now it is not redirecting me as I am on the road with my work laptop (same as all of the logs). It seems to occur at random times and not all of the time on this PC. Is there anything else that I can provide that would help?



#14 polskamachina

polskamachina

  • Malware Response Team
  • 4,068 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:01:15 AM

Posted 05 December 2014 - 01:27 PM

Hi Newgonhowzter :)

 

Regarding your report of invalid site certificates, this could be caused by something as simple as your system clock not being set to the correct date and time. Directions to change the date and time are here if you need them. Please let me know if it is set correctly.
 

Next:

 

Please download the TDSS Rootkit Removing Tool (TDSSKiller.exe) and save it to your Desktop. <-Important!!!

  • Right-click on TDSSKiller.exe and select Run As Administrator to run the tool for known TDSS variants.
  • If TDSSKiller does not run, try renaming it.
  • To do this, right-click on TDSSKiller.exe, select Rename and give it a random name with the .com file extension (i.e. 123abc.com). If you do not see the file extension, please refer to How to change the file extension.
  • Click the Start Scan button.
  • Do not use the computer during the scan
  • If the scan completes with nothing found, click Close to exit.
  • If malicious objects are found, they will show in the Scan results - Select action for found objects and offer three options.
  • Ensure Cure (default) is selected, then click Continue > Reboot now to finish the cleaning process.
    Note: If Cure is not an option, Skip instead, do not choose Delete unless instructed.
  • A log file named TDSSKiller_version_date_time_log.txt (i.e. TDSSKiller.2.4.0.0_27.07.2010_09.o7.26_log.txt) will be created and saved to the root directory (usually Local Disk C:).
  • Copy and paste the contents of that file in your next reply.

Let me know if you have any questions.
 
polskamachina



#15 polskamachina

polskamachina

  • Malware Response Team
  • 4,068 posts
  • OFFLINE
  •  
  • Gender:Male
  • Local time:01:15 AM

Posted 09 December 2014 - 01:59 AM

Hi Newgonhowtzer :)

 

It's been several days since you've checked in. Did you need any more help with this? If not, this topic will be closed in 48 hours.

 

Please let me know if you have any questions.

 

polskamachina






0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users