1) Sicher, dass das nicht die Kerio Firewall ist? (5 Byte jmp in Memory < 0x00100000, dann ein INT2E bzw Sysenter mit der ServiceNummer von NtLoadDriver)

2) Wirds als Treiber geladen, so ist auch sicherlich die SSDT gehookt -> vergiss es wenn du nicht auch einen Treiber schreiben kannst. Um sicher zu gehen, dass des Programm nciht einfach nur einen globalen hook (madCodehook etc) benutzt nimm mal OllyDbg und attache nen neuen Process, der soll aber direkt beim System Breakpoint anhalten. Ist da schon ein jump wirds ein Treiber sein (keine Chance mit ring3 Programm), ansonsten überschreibe den jmp mit den Original Bytes (VirtualProtect + CopyMemory)