Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Rootkit in hidden partition?


  • Please log in to reply
10 replies to this topic

#1 HNB7

HNB7

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:42 AM

Posted 06 September 2012 - 04:01 AM

Hello

I have cleaned my computer of several worms and/or viruses and I tough my computer was clean, at least using MBAM and SpyHunter nothing suspicious apears anymore.

Yet when launching GMER, there are 3 malicious items that remain and that GMER cannot take away:

*** GMER log ***

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit quick scan 2012-09-02 11:40:12
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD16 rev.01.0
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1.ACE\LOCALS~1\Temp\kwkyqaob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----



while Roguekiller says it's clean

*** RK log ***

RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 02/09/2012 10:08:50

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-22A23T0 +++++
--- User ---
[MBR] d4b936de9f47464c9091b8948d9dab5f
[BSP] ce211e013b4d8bfb5ebe91be3ed8f156 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 2048 | Size: 11264 Mo
1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 23070720 | Size: 4096 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 137265 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt



When launching a check on partitions with MBR.exe, I discovered one hidden partition of 11Gb which do not appear in the explorer:
Posted Image

So I tried to use the partition manager and to instal partition magic but in both cases I get error message:
Posted Image Posted Image

Here are the TaskSTR screens:
Posted Image Posted Image Posted Image Posted Image Posted Image

Any idea what this is? how it is called, what is his aim? Does this Sh.t collect my card numbers when I shop online?
And how to get rid of it?

Edited by HNB7, 06 September 2012 - 04:19 AM.


BC AdBot (Login to Remove)

 


#2 HNB7

HNB7
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:42 AM

Posted 06 September 2012 - 04:27 AM

Oh yes, and btw I forgot to mention that my system is a netbook (no CD). It used to be slow, but here it is really extremely slow, like ultra-ultra-slow, so I know for shure there is something wrong init. :(

#3 narenxp

narenxp

  • BC Advisor
  • 16,371 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:India
  • Local time:07:42 AM

Posted 06 September 2012 - 07:31 AM

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)


These are not infections

When launching a check on partitions with MBR.exe, I discovered one hidden partition of 11Gb which do not appear in the explorer:


11GB is your recovery partition

TASKTR screenshots are clean and nothing suspicious :)


Explain to us when do you have slowness? While browsing or at startup? Does this happen in safemode?


Download

mini toolbox

Checkmark following boxes:

Flush DNS
Report IE Proxy Settings
Reset IE Proxy Settings
Report FF Proxy Settings
Reset FF Proxy Settings
List content of Hosts
List IP configuration
List Winsock Entries
List last 10 Event Viewer log
List Installed Programs
List Users, Partitions and Memory size

Click Go and post the result.

#4 HNB7

HNB7
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:42 AM

Posted 06 September 2012 - 10:03 AM

No. there is a partition for recovery which is the one of 4Gb. It appears in the explorer and has always been so.
The partition with 11Gb is not Fat, not NTFS, and is invisible. It may have been there since ever, but since there is something which slows my computer down, and no anti-rootkit can find it, I just have a big suspicion the stealth partition is his way to avoid detection.

Anyway, if there is no infection, how come I can't launch the partition tools from windows or I can't install partition magic?
Tasktr captures show a kwkyqaob.sys in orange. What is this? Why do I have 5 svchost loaded before I start any software?

About the speed: Very slow all the way. Startup, connecting to internet, a lot of dropout from the wireless network while everything's fine... And it's also very slow in safe mode.

After I launch an explorer, it takes 4 seconds to have a folder view (without any other program launched).
In the explorer, a right click on a file takes 13 seconds to have the contextual menu.
It was worse while I was infected with other viruses that I successfully removed with Roguekiller, but it's not over.

mini toolbox log:

MiniToolBox by Farbar Version: 23-07-2012
Ran by admin (administrator) on 06-09-2012 at 17:13:57
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Boot Mode: Normal
***************************************************************************

========================= Flush DNS: ===================================


Configuration IP de Windows



Cache de résolution DNS vidé.


========================= IE Proxy Settings: ==============================

Proxy is not enabled.
No Proxy Server is set.

"Reset IE Proxy Settings": IE Proxy Settings were reset.

========================= FF Proxy Settings: ==============================


"Reset FF Proxy Settings": Firefox Proxy settings were reset.

========================= Hosts content: =================================

127.0.0.1 localhost

========================= IP Configuration: ================================

Atheros AR5B95 Wireless Network Adapter = Connexion réseau sans fil (Connected)
Atheros AR8152 PCI-E Fast Ethernet Controller = Connexion au réseau local 2 (Media disconnected)


# ----------------------------------
# Configuration IP de l'interface
# ----------------------------------
pushd interface ip


# Configuration IP de l'interface pour "Connexion au réseau local 2"

set address name="Connexion au réseau local 2" source=dhcp
set dns name="Connexion au réseau local 2" source=dhcp register=PRIMARY
set wins name="Connexion au réseau local 2" source=dhcp

# Configuration IP de l'interface pour "Connexion réseau sans fil"

set address name="Connexion réseau sans fil" source=dhcp
set dns name="Connexion réseau sans fil" source=dhcp register=PRIMARY
set wins name="Connexion réseau sans fil" source=dhcp


popd
# Fin de la configuration IP de l'interface




Configuration IP de Windows



Nom de l'hôte . . . . . . . . . . : acer-139c7e1adf

Suffixe DNS principal . . . . . . :

Type de nœud . . . . . . . . . . : Hybride

Routage IP activé . . . . . . . . : Non

Proxy WINS activé . . . . . . . . : Non

Liste de recherche du suffixe DNS : DHCPPromes



Carte Ethernet Connexion au réseau local 2:



Statut du média . . . . . . . . . : Média déconnecté

Description . . . . . . . . . . . : Atheros AR8152 PCI-E Fast Ethernet Controller

Adresse physique . . . . . . . . .: 88-AE-1D-8B-B3-7B



Carte Ethernet Connexion réseau sans fil:



Suffixe DNS propre à la connexion : DHCPPromes

Description . . . . . . . . . . . : Atheros AR5B95 Wireless Network Adapter

Adresse physique . . . . . . . . .: 4C-0F-6E-01-94-84

DHCP activé. . . . . . . . . . . : Oui

Configuration automatique activée . . . . : Oui

Adresse IP. . . . . . . . . . . . : 10.135.135.142

Masque de sous-réseau . . . . . . : 255.255.255.0

Passerelle par défaut . . . . . . : 10.135.135.1

Serveur DHCP. . . . . . . . . . . : 1.1.1.1

Serveurs DNS . . . . . . . . . . : 192.70.82.4

192.70.82.5

Serveur WINS principal. . . . . . : 10.134.142.250

Bail obtenu . . . . . . . . . . . : jeudi 6 septembre 2012 17:04:13

Bail expirant . . . . . . . . . . : vendredi 7 septembre 2012 17:04:13

Serveur : ns1.univ-perp.fr
Address: 192.70.82.4

Nom : google.com
Addresses: 173.194.34.14, 173.194.34.0, 173.194.34.1, 173.194.34.2
173.194.34.3, 173.194.34.4, 173.194.34.5, 173.194.34.6, 173.194.34.7
173.194.34.8, 173.194.34.9



Envoi d'une requˆte 'ping' sur google.com [173.194.34.9] avec 32 octets de donn‚esÿ:



R‚ponse de 173.194.34.9ÿ: octets=32 temps=20 ms TTL=51

R‚ponse de 173.194.34.9ÿ: octets=32 temps=20 ms TTL=51



Statistiques Ping pour 173.194.34.9:

Paquetsÿ: envoy‚s = 2, re‡us = 2, perdus = 0 (perte 0%),

Dur‚e approximative des boucles en millisecondes :

Minimum = 20ms, Maximum = 20ms, Moyenne = 20ms

Serveur : ns1.univ-perp.fr
Address: 192.70.82.4

Nom : yahoo.com
Addresses: 98.139.183.24, 72.30.38.140, 98.138.253.109



Envoi d'une requˆte 'ping' sur yahoo.com [98.138.253.109] avec 32 octets de donn‚esÿ:



R‚ponse de 98.138.253.109ÿ: octets=32 temps=184 ms TTL=46

R‚ponse de 98.138.253.109ÿ: octets=32 temps=176 ms TTL=46



Statistiques Ping pour 98.138.253.109:

Paquetsÿ: envoy‚s = 2, re‡us = 2, perdus = 0 (perte 0%),

Dur‚e approximative des boucles en millisecondes :

Minimum = 176ms, Maximum = 184ms, Moyenne = 180ms

Serveur : ns1.univ-perp.fr
Address: 192.70.82.4

Nom : bleepingcomputer.com
Address: 208.43.87.2



Envoi d'une requˆte 'ping' sur bleepingcomputer.com [208.43.87.2] avec 32 octets de donn‚esÿ:



R‚ponse de 208.43.87.2ÿ: Impossible de joindre l'h“te de destination.

R‚ponse de 208.43.87.2ÿ: Impossible de joindre l'h“te de destination.



Statistiques Ping pour 208.43.87.2:

Paquetsÿ: envoy‚s = 2, re‡us = 2, perdus = 0 (perte 0%),

Dur‚e approximative des boucles en millisecondes :

Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms



Envoi d'une requˆte 'ping' sur 127.0.0.1 avec 32 octets de donn‚esÿ:



R‚ponse de 127.0.0.1ÿ: octets=32 temps<1ms TTL=128

R‚ponse de 127.0.0.1ÿ: octets=32 temps<1ms TTL=128



Statistiques Ping pour 127.0.0.1:

Paquetsÿ: envoy‚s = 2, re‡us = 2, perdus = 0 (perte 0%),

Dur‚e approximative des boucles en millisecondes :

Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

===========================================================================
Liste d'Interfaces
0x1 ........................... MS TCP Loopback interface
0x2 ...88 ae 1d 8b b3 7b ...... Atheros AR8152 PCI-E Fast Ethernet Controller - Miniport d'ordonnancement de paquets
0x3 ...4c 0f 6e 01 94 84 ...... Atheros AR5B95 Wireless Network Adapter - Miniport d'ordonnancement de paquets
===========================================================================
===========================================================================
Itin‚raires actifsÿ:
Destination r‚seau Masque r‚seau Adr. passerelle Adr. interface M‚trique
0.0.0.0 0.0.0.0 10.135.135.1 10.135.135.142 25
10.135.135.0 255.255.255.0 10.135.135.142 10.135.135.142 25
10.135.135.142 255.255.255.255 127.0.0.1 127.0.0.1 25
10.255.255.255 255.255.255.255 10.135.135.142 10.135.135.142 25
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.135.135.142 10.135.135.142 25
255.255.255.255 255.255.255.255 10.135.135.142 2 1
255.255.255.255 255.255.255.255 10.135.135.142 10.135.135.142 1
Passerelle par d‚fautÿ: 10.135.135.1
===========================================================================
Itin‚raires persistantsÿ:
Aucun
========================= Winsock entries =====================================

Catalog5 01 C:\Windows\System32\mswsock.dll [247808] (Microsoft Corporation)
Catalog5 02 C:\Windows\System32\winrnr.dll [16896] (Microsoft Corporation)
Catalog5 03 C:\Windows\System32\mswsock.dll [247808] (Microsoft Corporation)
Catalog5 04 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.)
Catalog9 01 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 02 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 03 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 04 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)
Catalog9 05 C:\Windows\system32\rsvpsp.dll [92672] (Microsoft Corporation)
Catalog9 06 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 07 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 08 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 09 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 10 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 11 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 12 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 13 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 14 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)
Catalog9 15 C:\Windows\system32\mswsock.dll [247808] (Microsoft Corporation)

========================= Event log errors: ===============================

Application errors:
==================
Error: (09/06/2012 05:09:41 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:09:41 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:52 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:52 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:51 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:51 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:51 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:51 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:51 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.

Error: (09/06/2012 05:08:51 PM) (Source: crypt32) (User: )
Description: Échec de l'extraction de la liste racine tierce partie depuis le fichier CAB de mise à jour automatique à : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> avec l'erreur : Données non valides.


System errors:
=============
Error: (09/06/2012 05:11:52 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:52 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:48 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:48 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:48 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:48 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:47 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:47 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:47 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058

Error: (09/06/2012 05:11:47 PM) (Source: Service Control Manager) (User: )
Description: Le service Gestionnaire de connexions d'accès distant dépend du service Téléphonie qui n'a pas pu démarrer en raison de l'erreur :
%%1058


Microsoft Office Sessions:
=========================

=========================== Installed Programs ============================

1.3M WebCam (Version: 2.103.14.3)
Acer Crystal Eye webcam (Version: 4.0.2.1)
Acer eRecovery Management (Version: 4.05.3013)
Adobe Anchor Service CS3 (Version: 1.0)
Adobe Asset Services CS3 (Version: 3)
Adobe Bridge CS3 (Version: 2)
Adobe Bridge Start Meeting (Version: 1.0)
Adobe Camera Raw 4.0 (Version: 4.0)
Adobe CMaps (Version: 1.0)
Adobe Color - Photoshop Specific (Version: 1.0)
Adobe Color Common Settings (Version: 1.0)
Adobe Color EU Extra Settings (Version: 1.0)
Adobe Color JA Extra Settings (Version: 1.0)
Adobe Color NA Recommended Settings (Version: 1.0)
Adobe Default Language CS3 (Version: 1.0)
Adobe Device Central CS3 (Version: 1.0)
Adobe ExtendScript Toolkit 2 (Version: 2.0)
Adobe Flash Player 10 Plugin (Version: 10.1.102.64)
Adobe Flash Player 11 ActiveX (Version: 11.2.202.235)
Adobe Fonts All (Version: 1.0)
Adobe Help Viewer CS3 (Version: 1)
Adobe Linguistics CS3 (Version: 3.0.0)
Adobe PDF Library Files (Version: 8.0)
Adobe Photoshop CS3 (Version: 10)
Adobe Photoshop CS3 (Version: 10.0)
Adobe Reader 9.1 MUI (Version: 9.1.0)
Adobe Setup (Version: 1.0)
Adobe Stock Photos CS3 (Version: 1.5)
Adobe Type Support (Version: 1.0)
Adobe Update Manager CS3 (Version: 5.1.0)
Adobe Version Cue CS3 Client (Version: 3)
Adobe WinSoft Linguistics Plugin (Version: 1.0)
Adobe XMP Panels CS3 (Version: 1.0)
AiO_Scan_CDA (Version: 51.0.230.000)
AndroidInstaller (Version: 1.00.022)
ASF-AVI-RM-WMV Repair 2.01
Atheros Communications Inc.® AR81Family Gigabit/Fast Ethernet Driver (Version: 1.0.0.40)
Audacity 2.0
CCleaner (remove only)
Correctif pour Windows XP (KB2633952) (Version: 1)
Correctif pour Windows XP (KB932716-v2) (Version: 2)
Correctif pour Windows XP (KB949764) (Version: 1)
Correctif pour Windows XP (KB952287) (Version: 1)
Correctif pour Windows XP (KB961118) (Version: 1)
Correctif pour Windows XP (KB969084) (Version: 3)
Correctif pour Windows XP (KB970653-v3) (Version: 3)
Correctif pour Windows XP (KB976098-v2) (Version: 2)
Correctif pour Windows XP (KB979306) (Version: 1)
Correctif pour Windows XP (KB981793) (Version: 1)
CutePDF Writer 2.8
Disk Investigator 1.31 (Version: 1.31)
eMule
ENE USB Card Reader Driver (Version: 5.89.0.70)
HD Tune 1.00
HP PSC & OfficeJet 6.1.A
Intel® Graphics Media Accelerator Driver (Version: 6.14.10.5260)
Intel® Matrix Storage Manager
Java Auto Updater (Version: 2.0.6.1)
Java™ 6 Update 27 (Version: 6.0.270)
K-Lite Codec Pack 7.1.0 (Full) (Version: 7.1.0)
Malwarebytes Anti-Malware version 1.62.0.1300 (Version: 1.62.0.1300)
Microsoft .NET Framework 1.1 (Version: 1.1.4322)
Microsoft .NET Framework 1.1 French Language Pack (Version: 1.1.4322)
Microsoft .NET Framework 1.1 Security Update (KB2656353)
Microsoft .NET Framework 1.1 Security Update (KB2656370)
Microsoft .NET Framework 2.0 Service Pack 2 (Version: 2.2.30729)
Microsoft .NET Framework 3.0 Service Pack 2 (Version: 3.2.30729)
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1 (Version: 3.5.30729)
Microsoft Application Error Reporting (Version: 12.0.6012.5000)
Microsoft Compression Client Pack 1.0 for Windows XP (Version: 1)
Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
Microsoft Office Professional Edition 2003 (Version: 11.0.8173.0)
Microsoft Office Project Professional 2003 (Version: 11.0.8173.0)
Microsoft Security Client (Version: 4.0.1526.0)
Microsoft Security Essentials (Version: 4.0.1526.0)
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour de sécurité pour Lecteur Windows Media (KB2378111)
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)
Mise à jour de sécurité pour Lecteur Windows Media (KB954155)
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)
Mise à jour de sécurité pour Lecteur Windows Media (KB975558)
Mise à jour de sécurité pour Lecteur Windows Media (KB978695)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)
Mise à jour de sécurité pour Microsoft Windows (KB2564958)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB2510531) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB2544521) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB2618444) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB2675157) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB971961) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB974455) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB976325) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB978207) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB981332) (Version: 1)
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB982381) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2079403) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2229593) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2296011) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2347290) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2360937) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2387149) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2393802) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2412687) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2419632) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2423089) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2440591) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2443105) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2476490) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2478960) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2478971) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2479943) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2483185) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2483614) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2485663) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2491683) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2506212) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2507618) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2507938) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2508429) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2509553) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2535512) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2536276-v2) (Version: 2)
Mise à jour de sécurité pour Windows XP (KB2544893-v2) (Version: 2)
Mise à jour de sécurité pour Windows XP (KB2566454) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2567680) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2570222) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2570947) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2584146) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2585542) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2592799) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2598479) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2603381) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2618451) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2619339) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2620712) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2621440) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2624667) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2631813) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2633171) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2639417) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2641653) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2646524) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2653956) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2659262) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2661637) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2676562) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2686509) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB2695962) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB923561) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB938464) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB946648) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB950760) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB950762) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB950974) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB951066) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB951376-v2) (Version: 2)
Mise à jour de sécurité pour Windows XP (KB951698) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB952004) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB952954) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB954211) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB954459) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB955069) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB956391) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB956572) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB956744) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB956802) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB956841) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB956844) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB957095) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB957097) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB958644) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB958687) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB958690) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB959426) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB960225) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB960715) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB960803) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB960859) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB961371) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB961501) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB968537) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB969059) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB969898) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB969947) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB970238) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB970430) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB971468) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB971486) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB971557) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB971657) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB972270) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB973346) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB973507) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB973525) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB973869) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB973904) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB974112) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB974318) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB974392) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB974571) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB975025) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB975467) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB975560) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB975561) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB975562) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB975713) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB977165) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB977816) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB977914) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB978251) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB978262) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB978338) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB978542) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB978601) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB978706) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB979309) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB979482) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB979559) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB979683) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB979687) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB980195) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB980218) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB980232) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB980436) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB981322) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB981997) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB982132) (Version: 1)
Mise à jour de sécurité pour Windows XP (KB982665) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB971180) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB971930) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB972636) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB973874) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB975364) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB976662) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB976749) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB978506) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB980182) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB980302) (Version: 1)
Mise à jour pour Windows Internet Explorer 8 (KB982632) (Version: 1)
Mise à jour pour Windows XP (KB2345886) (Version: 1)
Mise à jour pour Windows XP (KB2541763) (Version: 1)
Mise à jour pour Windows XP (KB2641690) (Version: 1)
Mise à jour pour Windows XP (KB898461) (Version: 1)
Mise à jour pour Windows XP (KB951072-v2) (Version: 2)
Mise à jour pour Windows XP (KB951978) (Version: 1)
Mise à jour pour Windows XP (KB955759) (Version: 1)
Mise à jour pour Windows XP (KB955839) (Version: 1)
Mise à jour pour Windows XP (KB961503) (Version: 1)
Mise à jour pour Windows XP (KB968389) (Version: 1)
Mise à jour pour Windows XP (KB971029) (Version: 1)
Mise à jour pour Windows XP (KB971737) (Version: 1)
Mise à jour pour Windows XP (KB973687) (Version: 1)
Mise à jour pour Windows XP (KB973815) (Version: 1)
MyWinLocker (Version: 3.1.212.0)
MyWinLocker Suite (Version: 3.1.212.0)
PDF Settings (Version: 1.0)
QFolder (Version: 1.00.0000)
QuickMonitorProfile 2.1.0.0
Realtek High Definition Audio Driver (Version: 5.10.0.6066)
RegSupreme 1.2
Scan (Version: 6.0.0.0)
Shredder (Version: 2.0.8.3)
Skype™ 5.9 (Version: 5.9.115)
Sony Sound Forge 8.0b (Version: 8.0.110)
Spybot - Search & Destroy (Version: 1.6.2)
SubtitleCreator (Version: V2.2)
Synaptics Pointing Device Driver (Version: 15.0.7.0)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707) (Version: 1)
VideoLAN VLC media player 0.7.2 (Version: 0.7.2)
WebFldrs XP (Version: 9.50.7523)
Windows Internet Explorer 8 (Version: 20090308.140743)
WinRAR archiver

========================= Memory info: ===================================

Percentage of memory in use: 71%
Total physical RAM: 1013.02 MB
Available physical RAM: 290.9 MB
Total Pagefile: 2439.52 MB
Available Pagefile: 1833.43 MB
Total Virtual: 2047.88 MB
Available Virtual: 1968.17 MB

========================= Partitions: =====================================

1 Drive c: (ACER) (Fixed) (Total:134.05 GB) (Free:98.63 GB) NTFS
2 Drive d: (QUATRE) (Fixed) (Total:4 GB) (Free:4 GB) FAT32

========================= Users: ========================================

comptes d'utilisateurs de \\ACER-139C7E1ADF

admin Administrateur ASPNET
HelpAssistant Invit‚ SUPPORT_388945a0
La commande s'est termin‚e correctement.


**** End of log ****


Edited by HNB7, 06 September 2012 - 10:21 AM.


#5 narenxp

narenxp

  • BC Advisor
  • 16,371 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:India
  • Local time:07:42 AM

Posted 06 September 2012 - 10:21 AM

No. there is a partition for recovery which is the one of 4Gb. It appears in the explorer and has always been so.
The partition with 11Gb is not Fat, not NTFS, and is invisible. It may have been there since ever, but I just think it is a plausible hypothesis.


Look at the MBRSCAN screenshot again

Check the partition type details of 11 GB partition

Anyway, if there is no infection, how come I can't launch the partition tools from windows or I can't install partition magic?


Both are in no way related to infections.

http://consumerdocs.installshield.com/selfservice/viewContent.do?externalId=Q108340&sliceId=1
http://support.microsoft.com/kb/888019

Tasktr captures show a kwkyqaob.sys in orange. What is this? Why do I have 5 svchost loaded before I start any software?


Sys file is nothing but driver file of GMER.Before questioning about svchost,you should know what is SVCHOST.EXE

http://www.bleepingcomputer.com/tutorials/list-services-running-under-svchostexe-process/

After I launch an explorer, it takes 4 seconds to have a folder view (without any other program launched).
In the explorer, a right click on a file takes 13 seconds to have the contextual menu.
It was worse while I was infected with other viruses that I successfully removed with Roguekiller, but it's not over.


Slowness is not always virus related.If you feel that you're infected

Read the guide here on preparing logs

http://www.bleepingcomputer.com/forums/topic34773.html

and create a topic here

http://www.bleepingcomputer.com/forums/forum22.html

Good luck

#6 HNB7

HNB7
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:42 AM

Posted 06 September 2012 - 11:04 AM

Hello. Thanks a lot for the time you take to answer my questions.

Any information from the mini toolbox log?

#7 narenxp

narenxp

  • BC Advisor
  • 16,371 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:India
  • Local time:07:42 AM

Posted 06 September 2012 - 11:43 AM

Configure a clean boot

http://support.microsoft.com/kb/310353

Does that make a difference?

Did you run CHKDSK or disk defrag before?

Edited by narenxp, 06 September 2012 - 11:43 AM.


#8 HNB7

HNB7
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:42 AM

Posted 06 September 2012 - 12:07 PM

CHKDSK? no! the file system is okay, my harddrive is okay, I don't load anything in startup, except skype, IAAnotif, Microsoft Security Client, and audio drivers, I removed the autoupdate from adobe and flash, I removed all graphic options from XP so it uses minimal ressources. It should not behave this slow. I'm positive. And last time after I wiped hard drive and reintalled everything from the 4Gb acer-backup partition, it was still as slow as before (even slower since all the graphick stupid options from Microsoft and the commercial pack were back).

Here's the speed of my hard drive. Nothing exceptional but fast enough for XP so it can open the file explorer in less than 4 secs... for real
Posted Image

Do you beleive me?

Edited by HNB7, 06 September 2012 - 12:16 PM.


#9 narenxp

narenxp

  • BC Advisor
  • 16,371 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:India
  • Local time:07:42 AM

Posted 06 September 2012 - 01:07 PM

And last time after I wiped hard drive and reintalled everything from the 4Gb acer-backup partition, it was still as slow as before


Did you run MEMTEST or test your harddrive?

Also,you have already created a topic here

http://www.bleepingcomputer.com/forums/topic467695.html

From now on follow instructions of expert who is helping you

good luck

Edited by narenxp, 06 September 2012 - 01:09 PM.


#10 HNB7

HNB7
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:42 AM

Posted 07 September 2012 - 02:26 AM

Yes I have created a topic, just as you instructed me. No answer yet.
Hardrive is in pristine condition.
I've downloaded memtest and it shows 0 errors, except it is now at 180,9% coverage and does not look like it's willing to stop...

Edited by HNB7, 07 September 2012 - 02:51 AM.


#11 HNB7

HNB7
  • Topic Starter

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:42 AM

Posted 07 September 2012 - 02:58 AM

I stoped memtest at 250% no errors




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users