Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Computer Running Slow, Did a GMER Check, is anything wrong?


  • This topic is locked This topic is locked
2 replies to this topic

#1 pwntatochips

pwntatochips

  • Members
  • 9 posts
  • OFFLINE
  •  
  • Local time:07:47 AM

Posted 10 July 2014 - 06:42 PM

My computer started crawling and someone suggested a rootkit check, so I used GMER but I did not know if they all were worth deleting. Your expertise would be greatly appreciated! Thank you!
 
GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-07-10 18:41:25
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\00000071 Hitachi_ rev.JP4O 931.51GB
Running: dmj9grwt.exe; Driver: C:\Users\ANDREW~1\AppData\Local\Temp\uwdyqkob.sys
 
 
---- Kernel code sections - GMER 2.1 ----
 
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528                                                                                                                fffff800033fb000 45 bytes [00, 00, 0D, 02, 4E, 56, 52, ...]
INITKDBG  C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 575                                                                                                                fffff800033fb02f 16 bytes [00, 40, 00, 00, 00, 00, 00, ...]
.text     C:\Windows\system32\DRIVERS\USBPORT.SYS!DllUnload                                                                                                                                 fffff880071c1d8c 12 bytes {MOV RAX, 0xfffffa80062192a0; JMP RAX}
 
---- User code sections - GMER 2.1 ----
 
.text     C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe[1624] C:\Windows\syswow64\kernel32.dll!SetUnhandledExceptionFilter                                                         00000000768f8791 4 bytes [C2, 04, 00, 00]
 
---- Kernel IAT/EAT - GMER 2.1 ----
 
IAT       C:\Windows\system32\drivers\pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                                                     [fffff880010a6650] \SystemRoot\System32\Drivers\spjc.sys [unknown section]
IAT       C:\Windows\system32\drivers\pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                                                                  [fffff880010a65dc] \SystemRoot\System32\Drivers\spjc.sys [unknown section]
 
---- Devices - GMER 2.1 ----
 
Device    \FileSystem\Ntfs \Ntfs                                                                                                                                                            fffffa8003dd72c0
Device    \Driver\NetBT \Device\NetBT_Tcpip_{89674037-37B7-49DD-8E9E-D0F6256FC3BD}                                                                                                          fffffa80058442c0
Device    \Driver\usbehci \Device\USBPDO-1                                                                                                                                                  fffffa800624e2c0
Device    \Driver\nvstor64 \Device\RaidPort0                                                                                                                                                fffffa8003dd22c0
Device    \Driver\cdrom \Device\CdRom0                                                                                                                                                      fffffa8004fc72c0
Device    \Driver\nvstor64 \Device\RaidPort1                                                                                                                                                fffffa8003dd22c0
Device    \Driver\cdrom \Device\CdRom1                                                                                                                                                      fffffa8004fc72c0
Device    \Driver\nvstor64 \Device\0000006f                                                                                                                                                 fffffa8003dd22c0
Device    \Driver\usbohci \Device\USBFDO-0                                                                                                                                                  fffffa800621b2c0
Device    \Driver\nvstor64 \Device\00000071                                                                                                                                                 fffffa8003dd22c0
Device    \Driver\NetBT \Device\NetBT_Tcpip_{5AB86672-5CF5-430B-A130-3AAD5A6F56D7}                                                                                                          fffffa80058442c0
Device    \Driver\usbehci \Device\USBFDO-1                                                                                                                                                  fffffa800624e2c0
Device    \Driver\volmgr \Device\HarddiskVolume1                                                                                                                                            fffffa8003dbf2c0
Device    \Driver\volmgr \Device\FtControl                                                                                                                                                  fffffa8003dbf2c0
Device    \Driver\volmgr \Device\VolMgrControl                                                                                                                                              fffffa8003dbf2c0
Device    \Driver\volmgr \Device\HarddiskVolume2                                                                                                                                            fffffa8003dbf2c0
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                                                                                           fffffa80058442c0
Device    \Driver\nvstor64 \Device\ScsiPort0                                                                                                                                                fffffa8003dd22c0
Device    \Driver\usbohci \Device\USBPDO-0                                                                                                                                                  fffffa800621b2c0
Device    \Driver\nvstor64 \Device\ScsiPort1                                                                                                                                                fffffa8003dd22c0
 
---- Trace I/O - GMER 2.1 ----
 
Trace     ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys >>UNKNOWN [0xfffffa8003dd22c0]<< spjc.sys storport.sys hal.dll nvstor64.sys                                                           fffffa8003dd22c0
Trace     1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004d8a060]                                                                                                                   fffffa8004d8a060
Trace     3 CLASSPNP.SYS[fffff88001aa343f] -> nt!IofCallDriver -> [0xfffffa8003e3d7a0]                                                                                                      fffffa8003e3d7a0
Trace     5 ACPI.sys[fffff880011ad7a1] -> nt!IofCallDriver -> \Device\00000071[0xfffffa8003e3d9c0]                                                                                          fffffa8003e3d9c0
Trace     \Driver\nvstor64[0xfffffa8003e223e0] -> IRP_MJ_CREATE -> 0xfffffa8003dd22c0                                                                                                       fffffa8003dd22c0
 
---- Threads - GMER 2.1 ----
 
Thread    C:\Windows\System32\svchost.exe [268:13676]                                                                                                                                       000007fef81a5fd0
Thread    C:\Windows\System32\svchost.exe [440:956]                                                                                                                                         000007fefc3cf2f4
Thread    C:\Windows\System32\svchost.exe [440:1076]                                                                                                                                        000007fefc346204
Thread    C:\Windows\System32\svchost.exe [440:1240]                                                                                                                                        000007fefa6d331c
Thread    C:\Windows\System32\svchost.exe [440:2724]                                                                                                                                        000007fef6dfa2b0
Thread    C:\Windows\System32\svchost.exe [440:2736]                                                                                                                                        000007fef68620c0
Thread    C:\Windows\System32\svchost.exe [440:2744]                                                                                                                                        000007fef68626a8
Thread    C:\Windows\System32\svchost.exe [440:2760]                                                                                                                                        000007fef6f459a0
Thread    C:\Windows\System32\svchost.exe [440:3820]                                                                                                                                        000007fef96a44e0
Thread    C:\Windows\System32\svchost.exe [440:4604]                                                                                                                                        000007fefcee1a70
Thread    C:\Windows\System32\svchost.exe [440:5848]                                                                                                                                        000007feff10c608
Thread    C:\Windows\System32\svchost.exe [440:5852]                                                                                                                                        000007feff10c608
Thread    C:\Windows\System32\svchost.exe [440:5856]                                                                                                                                        000007feff10c608
Thread    C:\Windows\System32\svchost.exe [440:5860]                                                                                                                                        000007feff10c608
Thread    C:\Windows\System32\svchost.exe [440:5864]                                                                                                                                        000007feff10c608
Thread    C:\Windows\System32\svchost.exe [440:1580]                                                                                                                                        000007fef99188f8
Thread    C:\Windows\System32\svchost.exe [440:6636]                                                                                                                                        000007fef0bd3efc
Thread    C:\Windows\System32\svchost.exe [440:6772]                                                                                                                                        000007fef0c18a4c
Thread    C:\Windows\System32\svchost.exe [440:12848]                                                                                                                                       000007fef68629dc
Thread    C:\Windows\System32\svchost.exe [440:12636]                                                                                                                                       000007fef68629dc
Thread    C:\Windows\System32\svchost.exe [440:14020]                                                                                                                                       000007fef68629dc
Thread    C:\Windows\system32\svchost.exe [760:2660]                                                                                                                                        000007fef7a90ea8
Thread    C:\Windows\system32\svchost.exe [760:2676]                                                                                                                                        000007fef7a89db0
Thread    C:\Windows\system32\svchost.exe [760:2780]                                                                                                                                        000007fef7a91c94
Thread    C:\Windows\system32\svchost.exe [760:9408]                                                                                                                                        000007fefae26ed4
Thread    C:\Windows\system32\svchost.exe [760:9780]                                                                                                                                        000007fefae26b8c
Thread    C:\Windows\system32\svchost.exe [760:13680]                                                                                                                                       000007fefb0dd3c8
Thread    C:\Windows\system32\svchost.exe [760:13684]                                                                                                                                       000007fefb0dd3c8
Thread    C:\Windows\system32\svchost.exe [760:13688]                                                                                                                                       000007fefb0dd3c8
Thread    C:\Windows\system32\svchost.exe [760:13692]                                                                                                                                       000007fefb0dd3c8
Thread    C:\Windows\system32\svchost.exe [1264:1732]                                                                                                                                       000007fef9d1bd88
Thread    C:\Windows\system32\svchost.exe [1264:1520]                                                                                                                                       000007fef9ba5124
Thread    C:\Windows\system32\svchost.exe [1264:4880]                                                                                                                                       000007fef73a5170
Thread    C:\Windows\System32\spoolsv.exe [1372:2052]                                                                                                                                       000007fef86d10c8
Thread    C:\Windows\System32\spoolsv.exe [1372:2060]                                                                                                                                       000007fef86a6144
Thread    C:\Windows\System32\spoolsv.exe [1372:2064]                                                                                                                                       000007fef81a5fd0
Thread    C:\Windows\System32\spoolsv.exe [1372:2068]                                                                                                                                       000007fef8193438
Thread    C:\Windows\System32\spoolsv.exe [1372:2072]                                                                                                                                       000007fef81a63ec
Thread    C:\Windows\System32\spoolsv.exe [1372:2080]                                                                                                                                       000007fef8985e5c
Thread    C:\Windows\System32\spoolsv.exe [1372:2084]                                                                                                                                       000007fef89b5074
Thread    C:\Windows\system32\svchost.exe [1412:1644]                                                                                                                                       000007fef9fe35c0
Thread    C:\Windows\system32\svchost.exe [1412:2600]                                                                                                                                       000007fef9fe5600
Thread    C:\Windows\system32\svchost.exe [1412:2696]                                                                                                                                       000007fef6bb2940
Thread    C:\Windows\system32\svchost.exe [1412:3288]                                                                                                                                       000007fef7e82888
Thread    C:\Windows\system32\svchost.exe [2508:4996]                                                                                                                                       000007fef81a5fd0
Thread    C:\Windows\system32\svchost.exe [2508:5000]                                                                                                                                       000007fef81a63ec
Thread    C:\Windows\system32\svchost.exe [2508:6936]                                                                                                                                       000007fef018f130
Thread    c:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3692:4404]                                                                                                        000007fef5084094
Thread    c:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3692:4408]                                                                                                        000007fef5084094
Thread    c:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe [3692:4460]                                                                                                        000007fef469c0d0
Thread    C:\Windows\System32\svchost.exe [5572:15284]                                                                                                                                      000007fef9ba9874
Thread    C:\Program Files\Windows Media Player\wmpnetwk.exe [1848:6540]                                                                                                                    000007fefb922bf8
Thread    C:\Windows\System32\svchost.exe [1764:5180]                                                                                                                                       000007feefce9688
 
---- Registry - GMER 2.1 ----
 
Reg       HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s1                                                                                                                                771343423
Reg       HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg@s2                                                                                                                                285507792
Reg       HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Users\Andrew Ng\Desktop\CoreAVC\x2122 Professional Edition 3.0.1\Setup.exe  1
 
---- EOF - GMER 2.1 ----
 
 


BC AdBot (Login to Remove)

 


#2 nasdaq

nasdaq

  • Malware Response Team
  • 38,933 posts
  • ONLINE
  •  
  • Gender:Male
  • Location:Montreal, QC. Canada
  • Local time:07:47 AM

Posted 15 July 2014 - 12:57 PM

Hello, Welcome to BleepingComputer.
I'm nasdaq and will be helping you.

If you can please print this topic it will make it easier for you to follow the instructions and complete all of the necessary steps in the order listed.
===

--RogueKiller--
  • Download & SAVE to your Desktop For 32bit system or For 64bit system
  • Quit all programs that you may have started.
  • Please disconnect any USB or external drives from the computer before you run this scan!
  • For Vista or Windows 7, right-click and select "Run as Administrator to start"
  • For Windows XP, double-click to start.
  • Wait until Prescan has finished ...
  • Then Click on "Scan" button
  • Wait until the Status box shows "Scan Finished"
  • click on "delete"
  • Wait until the Status box shows "Deleting Finished"
  • Click on "Report" and copy/paste the content of the Notepad into your next reply.
  • The log should be found in RKreport[1].txt on your Desktop
  • Exit/Close RogueKiller+
=======

Please download AdwCleaner by Xplode onto your Desktop.
  • Close all open programs and internet browsers.
  • Double click on AdwCleaner.exe to run the tool.
  • Click the Scan button and wait for the process to complete.
  • Click the Report button and the report will open in Notepad.
IMPORTANT
  • If you click the Clean button all items listed in the report will be removed.
If you find some false positive items or programs that you wish to keep, Close the AdwCleaner windows.
  • Close all open programs and internet browsers.
  • Double click on AdwCleaner.exe to run the tool.
  • Click the Scan button and wait for the process to complete.
  • Check off the element(s) you wish to keep.
  • Click on the Clean button follow the prompts.
  • A log file will automatically open after the scan has finished.
  • Please post the content of that log file with your next answer.
  • You can find the log file at C:\AdwCleaner[Sn].txt (n is a number).
===

Download the correct version of this tool for your operating system.
Farbar Recovery Scan Tool (64 bit)
Farbar Recovery Scan Tool (32 bit)
and save it to a folder on your computer's Desktop.
Double-click to run it. When the tool opens click Yes to disclaimer.
Press Scan button.
It will make a log (FRST.txt) in the same directory the tool is run. Please copy and paste it to your reply.
The first time the tool is run, it makes also another log (Addition.txt). Please attach it to your reply.

===

Please paste the logs in your next reply DO NOT ATTACH THEM unless specified.
To attach a file select the "More Reply Option" and follow the instructions.

Let me know what problem persists.

#3 nasdaq

nasdaq

  • Malware Response Team
  • 38,933 posts
  • ONLINE
  •  
  • Gender:Male
  • Location:Montreal, QC. Canada
  • Local time:07:47 AM

Posted 21 July 2014 - 08:09 AM

Due to the lack of feedback, this topic is now closed.

In the event you still have problems, please send me or any Moderator a Private Message and ask them to reopen this topic within the next 5 days.

Please include a link to your topic in the Private Message. Thank you.




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users