Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Rootkit/Malware/Trojan, can get rid of this Devil


  • This topic is locked This topic is locked
6 replies to this topic

#1 MolissArs

MolissArs

  • Members
  • 4 posts
  • OFFLINE
  •  
  • Local time:05:15 AM

Posted 15 February 2017 - 10:41 PM

Here are the scans from GMER I ran showing some issues.  Seems like something is able to log in my machine as SYSTEM and make changes.  Had some security policy settings changed to allow NT VIRTUAL MACHINES/Virtual Machines access to do things I did not set these and they arent the default settings.  I have dont multiple clean installs and still problems get worse. Please help get this monster off my computers. (I have 5 infected with the same issues, 3 PC and 2 iMacs) Seems like things are different every time I log into my computer..

 

I am running Windows 10 Enterprise..

 

 

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2017-02-14 00:00:53
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002d HGST_HTS545050A7E380 rev.GG2OAH20 465.76GB
Running: gmer.exe; Driver: C:\Users\Mo\AppData\Local\Temp\pwlyifob.sys
 
 
---- Disk sectors - GMER 2.2 ----
 
Disk    \Device\Harddisk0\DR0                                 unknown MBR code
 
---- Threads - GMER 2.2 ----
 
Thread  C:\WINDOWS\system32\csrss.exe [648:912]               ffff81b83bb36c20
Thread  C:\WINDOWS\system32\csrss.exe [648:920]               ffff81b83bb36c20
Thread  C:\WINDOWS\system32\svchost.exe [784:904]             00007fffe1e4f950
Thread  C:\WINDOWS\system32\svchost.exe [784:908]             00007fffe1e4ed20
Thread  C:\WINDOWS\system32\svchost.exe [784:992]             00007fffe1c38ae0
Thread  C:\WINDOWS\system32\svchost.exe [508:1980]            00007fffd74250c0
Thread  C:\WINDOWS\system32\svchost.exe [508:2136]            00007fffd65939b0
Thread  C:\WINDOWS\system32\svchost.exe [508:2368]            00007fffd6231a50
Thread  C:\WINDOWS\system32\svchost.exe [508:3116]            00007fffd35f1040
Thread  C:\WINDOWS\system32\svchost.exe [508:3120]            00007fffd7c948e0
Thread  C:\WINDOWS\system32\svchost.exe [508:3124]            00007fffd7c948e0
Thread  C:\WINDOWS\system32\svchost.exe [508:3228]            00007fffdb022cf0
Thread  C:\WINDOWS\system32\svchost.exe [496:2416]            00007fffd3ba1240
Thread  C:\WINDOWS\system32\svchost.exe [496:2336]            00007fffd3d5a3b0
Thread  C:\WINDOWS\system32\svchost.exe [496:3128]            00007fffd35d25e0
Thread  C:\WINDOWS\system32\svchost.exe [496:3504]            00007fffd2793bc0
Thread  C:\WINDOWS\system32\svchost.exe [496:6720]            00007fffd2792080
Thread  C:\WINDOWS\System32\svchost.exe [776:1176]            00007fffde7a28c0
Thread  C:\WINDOWS\System32\svchost.exe [776:1180]            00007fffde7a4290
Thread  C:\WINDOWS\System32\svchost.exe [776:1184]            00007fffde7a45c0
Thread  C:\WINDOWS\System32\svchost.exe [776:1188]            00007fffde7a45c0
Thread  C:\WINDOWS\System32\svchost.exe [776:1192]            00007fffde7a45c0
Thread  C:\WINDOWS\System32\svchost.exe [776:1396]            00007fffdb684310
Thread  C:\WINDOWS\System32\svchost.exe [776:1904]            00007fffd6da3520
Thread  C:\WINDOWS\System32\svchost.exe [776:2352]            00007fffd5c52af0
Thread  C:\WINDOWS\System32\svchost.exe [776:2356]            00007fffd5c52a40
Thread  C:\WINDOWS\System32\svchost.exe [776:3368]            00007fffd5c4fdf0
Thread  C:\WINDOWS\System32\svchost.exe [776:1384]            00007fffd5c45c80
Thread  C:\WINDOWS\System32\svchost.exe [776:5936]            00007fffd5ae51d0
Thread  C:\WINDOWS\System32\svchost.exe [776:5968]            00007fffd5ae72d0
Thread  C:\WINDOWS\system32\svchost.exe [888:1220]            00007fffde334260
Thread  C:\WINDOWS\system32\svchost.exe [888:1240]            00007fffde33bce0
Thread  C:\WINDOWS\system32\svchost.exe [888:1244]            00007fffde33bce0
Thread  C:\WINDOWS\system32\svchost.exe [888:1248]            00007fffde33bce0
Thread  C:\WINDOWS\system32\svchost.exe [888:1272]            00007fffde17a770
Thread  C:\WINDOWS\system32\svchost.exe [888:2992]            00007fffd5231670
Thread  C:\WINDOWS\system32\svchost.exe [888:5688]            00007fffcf36ac90
Thread  C:\WINDOWS\system32\svchost.exe [888:236]             00007fffcf363590
Thread  C:\WINDOWS\system32\svchost.exe [1224:1752]           00007fffd7b499e0
Thread  C:\WINDOWS\system32\svchost.exe [1224:1756]           00007fffdb022cf0
Thread  C:\WINDOWS\system32\svchost.exe [1552:1632]           00007fffd895e830
Thread  C:\WINDOWS\system32\svchost.exe [1552:1652]           00007fffd87410a0
Thread  C:\WINDOWS\system32\svchost.exe [1552:1760]           00007fffdb022cf0
Thread  C:\WINDOWS\system32\svchost.exe [1552:1916]           00007fffd79f5bd0
Thread  C:\WINDOWS\system32\svchost.exe [1552:1948]           00007fffd79f9b20
Thread  C:\WINDOWS\system32\svchost.exe [1552:1968]           00007fffdb022cf0
Thread  C:\WINDOWS\system32\svchost.exe [1684:1708]           00007fffe710b310
Thread  C:\WINDOWS\system32\svchost.exe [1684:1732]           00007fffd7b844b0
Thread  C:\WINDOWS\system32\svchost.exe [1684:1848]           00007fffe27f6750
Thread  C:\WINDOWS\system32\svchost.exe [1432:2632]           00007fffd54258c0
Thread  C:\WINDOWS\system32\svchost.exe [1432:2648]           00007fffd54258c0
Thread  C:\WINDOWS\system32\inetsrv\inetinfo.exe [1516:2752]  00007fffd5606f10
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:1616]             0000000000f4c6f4
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4516]             0000000072cc7d80
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4652]             0000000000efe910
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4656]             000000000b16f210
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4660]             000000000b16f210
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4664]             0000000073071bf0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4672]             0000000073062d80
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4676]             0000000073070a10
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4680]             0000000073070a10
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4684]             0000000073070a10
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4688]             0000000073061980
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4692]             0000000073061980
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4700]             0000000073061a90
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4716]             0000000072fa9970
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4724]             0000000072f828f0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4744]             000000000c9052c0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4768]             0000000072f839e0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4780]             0000000072f69010
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4784]             0000000072ef17e0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4788]             0000000073180ee0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4968]             0000000000eb4560
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5028]             0000000000f0d220
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5048]             0000000072cbbda0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5052]             0000000072cbb070
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5060]             0000000072cbb070
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5068]             0000000072cbb180
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5092]             0000000000efe910
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:3544]             0000000000f15e40
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:3460]             0000000000f15e40
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:2444]             0000000072efaf50
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4276]             000000007307baf0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4960]             0000000000f15e40
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:6100]             000000007307baf0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5428]             0000000072fb1560
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:2544]             0000000072fa9970
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5348]             0000000072fb1560
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:3572]             0000000000f15e40
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:7004]             0000000000f15e40
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:2764]             0000000000f15e40
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:4528]             0000000072c58420
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:3804]             000000007307a6f0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:5808]             0000000072fa9970
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [1548:7064]             0000000000efe910
Thread  C:\WINDOWS\system32\vmms.exe [2216:1408]              00007fffd3797150
Thread  C:\WINDOWS\system32\vmms.exe [2216:2496]              00007fffd3797150
Thread  C:\WINDOWS\system32\vmms.exe [2216:2096]              00007fffd3797150
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3500]         00007fffd2831160
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3536]         00007fffd2831a20
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3540]         00007fffe501b600
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3552]         00007fffd2721ba0
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3652]         00007fffd20ca3b0
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3656]         00007fffe1a630f0
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3664]         00007fffd16a7930
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:3668]         00007fffd16a7930
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:4328]         00007fffd71bdbe0
Thread  C:\WINDOWS\system32\taskhostw.exe [3400:4360]         00007fffd71bdbe0
Thread  C:\WINDOWS\Explorer.EXE [3716:4444]                   00007fffdaafbb70
Thread  C:\WINDOWS\Explorer.EXE [3716:4644]                   00007fffe1af1ba0
Thread  C:\WINDOWS\Explorer.EXE [3716:5464]                   00007fffdd6620e0
Thread  C:\WINDOWS\Explorer.EXE [3716:3292]                   00007fffdd6620e0
Thread  C:\WINDOWS\Explorer.EXE [3716:772]                    00007fffdd6536f0
Thread  C:\WINDOWS\Explorer.EXE [3716:1344]                   00007fffdd6620e0
Thread  C:\WINDOWS\Explorer.EXE [3716:6896]                   00007fffdd6620e0
Thread  C:\WINDOWS\Explorer.EXE [3716:1300]                   00007fffdd6620e0
Thread  C:\WINDOWS\Explorer.EXE [3716:464]                    00007fffdd6620e0
Thread  C:\WINDOWS\Explorer.EXE [3716:5488]                   00007fffdd6620e0
Thread   [3876:4048]                                          00000000771767c0
Thread   [4288:1348]                                          00007fffc9615110
Thread   [4288:72]                                            00007fffe71a2dc0
Thread   [4288:1444]                                          00007fffe4d65f10
Thread   [4288:4792]                                          00007fffde0a5024
Thread   [4288:3112]                                          00007fffde0a5024
Thread   [4288:3252]                                          00007fffe1a62830
Thread   [484:2748]                                           00007fffc64e74a0
Thread   [484:2976]                                           00007fffe71a2dc0
Thread   [484:2700]                                           00007fffe71a2dc0
Thread   [484:2796]                                           00007fffc64e74a0
Thread   [484:2676]                                           00007fffc64e74a0
Thread   [484:572]                                            00007fffc64e74a0
Thread   [484:564]                                            00007fffc64e74a0
Thread   [484:4728]                                           00007fffc64e74a0
Thread   [484:6708]                                           00007fffc64e74a0
Thread   [484:5420]                                           00007fffc64e74a0
Thread   [484:6784]                                           00007fffe71a2dc0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [3080:3076]             000000000065240c
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [3080:5640]             0000000000405450
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [3080:5252]             0000000000405450
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [3080:5304]             0000000000405450
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [3080:5876]             0000000000405450
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [3080:5920]             0000000000405450
Thread  C:\WINDOWS\explorer.exe [656:6724]                    00007fffdd6620e0
Thread  C:\WINDOWS\explorer.exe [656:2084]                    00007fffdd6620e0
Thread  C:\WINDOWS\explorer.exe [4124:1728]                   00007fffdd6620e0
Thread  C:\WINDOWS\explorer.exe [4124:660]                    00007fffdd6620e0
Thread  C:\WINDOWS\explorer.exe [4124:5336]                   00007fffdd6620e0
Thread   [4204:7052]                                          00007fffbe8ddd0c
Thread   [4204:7164]                                          00007fffe71a2dc0
Thread   [4204:5600]                                          00007fffbe8ddd0c
Thread   [4204:6656]                                          00007fffbe8ddd0c
Thread   [4204:6728]                                          00007fffbe8ddd0c
Thread   [4204:7112]                                          00007fffbe8ddd0c
Thread   [4204:4548]                                          00007fffe71a2dc0
Thread   [4204:2672]                                          00007fffbe8ddd0c
Thread   [4204:7156]                                          00007fffe71a2dc0
 
---- EOF - GMER 2.2 ----
 

Attached Files



BC AdBot (Login to Remove)

 


#2 MolissArs

MolissArs
  • Topic Starter

  • Members
  • 4 posts
  • OFFLINE
  •  
  • Local time:05:15 AM

Posted 15 February 2017 - 10:50 PM

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2017-02-15 21:48:52
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002d HGST_HTS545050A7E380 rev.GG2OAH20 465.76GB
Running: gmer.exe; Driver: C:\Users\Mo\AppData\Local\Temp\pwlyifob.sys
 
 
---- User code sections - GMER 2.2 ----
 
?       C:\WINDOWS\SYSTEM32\dbgcore.DLL [1708] entry point in ".rdata" section                                                                                             0000000073c3c940
?       C:\WINDOWS\system32\apphelp.dll [1708] entry point in ".rdata" section                                                                                             000000007317f7c0
?       C:\WINDOWS\SYSTEM32\iertutil.dll [1708] entry point in ".rdata" section                                                                                            00000000726a1590
?       C:\WINDOWS\SYSTEM32\NTASN1.dll [1708] entry point in ".rdata" section                                                                                              0000000072f9a020
?       C:\WINDOWS\system32\ncryptsslp.dll [1708] entry point in ".rdata" section                                                                                          0000000072f704f0
?       C:\WINDOWS\system32\wbem\wbemsvc.dll [6404] entry point in ".rdata" section                                                                                        000000006f688fc0
?       C:\WINDOWS\SYSTEM32\iertutil.dll [6404] entry point in ".rdata" section                                                                                            00000000726a1590
?       C:\WINDOWS\SYSTEM32\atlthunk.dll [6404] entry point in ".data" section                                                                                             000000006f614290
?       C:\WINDOWS\SYSTEM32\NTASN1.dll [6404] entry point in ".rdata" section                                                                                              0000000072f9a020
?       C:\WINDOWS\system32\ncryptsslp.dll [6404] entry point in ".rdata" section                                                                                          0000000072f704f0
?       C:\WINDOWS\SYSTEM32\wship6.dll [6888] entry point in ".rdata" section                                                                                              00000000667b2470
?       C:\WINDOWS\system32\wbem\wbemsvc.dll [2860] entry point in ".rdata" section                                                                                        000000006f688fc0
?       C:\WINDOWS\system32\wbem\wbemsvc.dll [5140] entry point in ".rdata" section                                                                                        000000006f688fc0
?       C:\WINDOWS\SYSTEM32\atlthunk.dll [5140] entry point in ".data" section                                                                                             000000006f614290
?       C:\WINDOWS\SYSTEM32\NTASN1.dll [5140] entry point in ".rdata" section                                                                                              0000000072f9a020
?       C:\WINDOWS\system32\ncryptsslp.dll [5140] entry point in ".rdata" section                                                                                          0000000072f704f0
?       C:\WINDOWS\SYSTEM32\iertutil.dll [4548] entry point in ".rdata" section                                                                                            00000000726a1590
?       C:\Windows\System32\ActXPrxy.dll [6536] entry point in ".rdata" section                                                                                            0000000066cd9c50
?       C:\WINDOWS\SYSTEM32\iertutil.dll [6536] entry point in ".rdata" section                                                                                            00000000726a1590
?       C:\WINDOWS\SYSTEM32\iertutil.dll [1172] entry point in ".rdata" section                                                                                            00000000726a1590
?       C:\WINDOWS\system32\apphelp.dll [1448] entry point in ".rdata" section                                                                                             000000007317f7c0
 
---- Threads - GMER 2.2 ----
 
Thread  C:\WINDOWS\system32\csrss.exe [1880:680]                                                                                                                           ffffdc2859a16c20
Thread  C:\WINDOWS\system32\csrss.exe [1880:524]                                                                                                                           ffffdc2859a16c20
 
---- Registry - GMER 2.2 ----
 
Reg     HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemStartTime                                                                                                  0x88 0xCF 0xFE 0x07 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemLastStartTime                                                                                              0x59 0x1F 0x72 0x44 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFStartTime                                                                                                     0x88 0xCF 0xFE 0x07 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFLastStartTime                                                                                                 0xA7 0x81 0x74 0x44 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData\BootLanguages@en-US                                                                                              20
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Diagnostics\Performance@ActiveShutdownDCL                                                                                    C:\WINDOWS\System32\WDI\LogFiles\WdiContextLog.etl.001
Reg     HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\ACR0300LW9AA0048524_16_07DF_7E+SDC43470_00_07DC_50^304278A8D306B0FD18154232FF633F8B@Timestamp  0x65 0x33 0x7B 0x19 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Lsa@LsaPid                                                                                                                   724
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\{7F65D9A3-E765-4AD3-AF87-3BE310D055D5}\Connection@Name                        Reusable ISATAP Interface {7F65D9A3-E765-4AD3-AF87-3BE310D055D5}
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations                                                                                  \??\C:\Config.Msi\efef0f.rbf??\??\C:\Config.Msi\efef13.rbf??
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\kernel\RNG@RNGAuxiliarySeed                                                                                  -6400674
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@POSTTime                                                                                               5268
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@FwPOSTTime                                                                                             5248
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@TotalResumeTime                                                                                        45071
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeAppTime                                                                                          16327
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeAppStartTimestamp                                                                                20832
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeLibraryInitTime                                                                                  265
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeInitTime                                                                                         542
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeHiberFileTime                                                                                    825
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeRestoreImageStartTimestamp                                                                       21640
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeIoTime                                                                                           613
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeDecompressTime                                                                                   183
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeMapTime                                                                                          57
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeAllocateTime                                                                                     34
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeKernelSwitchTimestamp                                                                            37160
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelReturnFromHandlerTimestamp                                                                       37189
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@SleeperThreadEndTimestamp                                                                              43991
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@TimeStampCounterAtSwitchTime                                                                           37188
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelReturnSystemPowerState                                                                           44763
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@HiberHiberFileTime                                                                                     5814
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@HiberInitTime                                                                                          194
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@TotalHibernateTime                                                                                     21539
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelResumeHiberFileTime                                                                              5540
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelResumeInitTime                                                                                   86
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelResumeSharedBufferTime                                                                           3
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@DeviceResumeTime                                                                                       710
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelAnimationTime                                                                                    83
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelPagesProcessed                                                                                   346232
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelPagesWritten                                                                                     0xA8 0x45 0x02 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@BootPagesProcessed                                                                                     19893
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@BootPagesWritten                                                                                       0x42 0x24 0x00 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@HiberWriteRate                                                                                         110
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeReadRate                                                                                         102
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeDecompressRate                                                                                   116
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@HiberChecksumTime                                                                                      255
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@HiberChecksumIoTime                                                                                    22
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelChecksumTime                                                                                     261
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelChecksumIoTime                                                                                   32
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@KernelResumeIoCpuTime                                                                                  2263
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@HiberIoCpuTime                                                                                         288
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@ResumeCompleteTimestamp                                                                                0xEA 0x24 0x05 0x02 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@HybridBootAnimationTime                                                                                6841
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID                                                                                                   c45d301a-5a8f-4c2c-bcfe-ea09c2d
Reg     HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@GlassSessionId                                                                                               4
Reg     HKLM\SYSTEM\CurrentControlSet\Control\WDI\Config@ServerName                                                                                                        \BaseNamedObjects\WDI_{8aff3389-176b-4e87-b171-61e8001aaca7}
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac                                                                                                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac@Type                                                                                                      224
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac@Start                                                                                                     2
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac@ErrorControl                                                                                              1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac@ImagePath                                                                                                 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac@DisplayName                                                                                               CDPUserSvc_7baeac
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac@FailureActions                                                                                            0x80 0x51 0x01 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac@Description                                                                                               @%SystemRoot%\system32\cdpusersvc.dll,-101
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac\Security                                                                                                  
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac\Security@Security                                                                                         0x01 0x00 0x14 0x80 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\CDPUserSvc_7baeac                                                                                                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\Probe\{d8d1a0c5-d00d-47ce-9d7f-511568abe750}@LastProbeTime                                              1487038336
Reg     HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap\{502AA37C-E41E-4ED7-900F-20367CE4994D}@DefunctTimestamp                                          0xDF 0xBB 0xA2 0x58 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap\{7F65D9A3-E765-4AD3-AF87-3BE310D055D5}@InterfaceName                                             Reusable ISATAP Interface {7F65D9A3-E765-4AD3-AF87-3BE310D055D5}
Reg     HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap\{7F65D9A3-E765-4AD3-AF87-3BE310D055D5}@ReusableType                                              2
Reg     HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\Isatap\{7F65D9A3-E765-4AD3-AF87-3BE310D055D5}@DefunctTimestamp                                          0x1B 0x02 0xA3 0x58 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState\10-5f-06-aa-c1-a0@AddressCreationTimestamp                                                    0x5D 0x80 0xB3 0x0E ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState\10-5f-06-aa-c1-a0@NatType                                                                     1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Teredo\PreviousState\10-5f-06-aa-c1-a0@NatDetectionTimestamp                                                       0x4D 0x62 0xB3 0x0E ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac                                                                                                     
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac@Type                                                                                                224
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac@Start                                                                                               3
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac@ErrorControl                                                                                        0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac@ImagePath                                                                                           C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac@DisplayName                                                                                         MessagingService_7baeac
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac@FailureActions                                                                                      0x80 0x51 0x01 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac@Description                                                                                         @%SystemRoot%\system32\MessagingService.dll,-101
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\Security                                                                                            
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\Security@Security                                                                                   0x01 0x00 0x14 0x80 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\TriggerInfo                                                                                         
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\TriggerInfo\0                                                                                       
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\TriggerInfo\0@Type                                                                                  7
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\TriggerInfo\0@Action                                                                                1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\TriggerInfo\0@Guid                                                                                  0x16 0x28 0x7A 0x2D ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\TriggerInfo\0@Data0                                                                                 0x75 0x18 0xBC 0xA3 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac\TriggerInfo\0@DataType0                                                                             1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\MessagingService_7baeac                                                                                                     
Reg     HKLM\SYSTEM\CurrentControlSet\Services\monitor\Parameters\Wdf@TimeOfLastTelemetryLog                                                                               0xB4 0xE6 0xD1 0xFB ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac                                                                                                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac@Type                                                                                                      224
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac@Start                                                                                                     2
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac@ErrorControl                                                                                              0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac@ImagePath                                                                                                 C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac@DisplayName                                                                                               Sync Host_7baeac
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac@FailureActions                                                                                            0x80 0x51 0x01 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac@Description                                                                                               @%SystemRoot%\system32\APHostRes.dll,-10001
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac\Security                                                                                                  
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac\Security@Security                                                                                         0x01 0x00 0x04 0x80 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\OneSyncSvc_7baeac                                                                                                           
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac                                                                                               
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac@Type                                                                                          224
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac@Start                                                                                         3
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac@ErrorControl                                                                                  0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac@ImagePath                                                                                     C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac@DisplayName                                                                                   Contact Data_7baeac
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac@FailureActions                                                                                0x80 0x51 0x01 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac@Description                                                                                   @%SystemRoot%\system32\UserDataAccessRes.dll,-15000
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac\Security                                                                                      
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac\Security@Security                                                                             0x01 0x00 0x04 0x80 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_7baeac                                                                                               
Reg     HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Diagnostics@ReadyBootTrainingCountSinceLastServicing                                                               10
Reg     HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@ReadyBootPlanAge                                                                                        1
Reg     HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@LastBootPlanUserTime                                                                                    ?Tue?, ?Feb ?14 ?17, 02:14:56 AM??2????????????????????????????
Reg     HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@EffectivePends                                                                                          65
Reg     HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch                                                                                                    509
Reg     HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch                                                                                                   166
Reg     HKLM\SYSTEM\CurrentControlSet\Services\srvnet\Parameters@MajorSequence                                                                                             19
Reg     HKLM\SYSTEM\CurrentControlSet\Services\SynTP\Parameters@DetectTimeMS                                                                                               644
Reg     HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1215d947-590c-40dc-a2b9-2913a9b77e74}@LeaseObtainedTime                                        1487073110
Reg     HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1215d947-590c-40dc-a2b9-2913a9b77e74}@T1                                                       1487116310
Reg     HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1215d947-590c-40dc-a2b9-2913a9b77e74}@T2                                                       1487148710
Reg     HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1215d947-590c-40dc-a2b9-2913a9b77e74}@LeaseTerminatesTime                                      1487159510
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac                                                                                                          
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac@Type                                                                                                     224
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac@Start                                                                                                    3
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac@ErrorControl                                                                                             0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac@ImagePath                                                                                                C:\WINDOWS\System32\svchost.exe -k UnistackSvcGroup
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac@DisplayName                                                                                              User Data Storage_7baeac
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac@FailureActions                                                                                           0x80 0x51 0x01 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac@Description                                                                                              @%SystemRoot%\system32\UserDataAccessRes.dll,-10002
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac\Security                                                                                                 
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac\Security@Security                                                                                        0x01 0x00 0x04 0x80 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UnistoreSvc_7baeac                                                                                                          
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac                                                                                                          
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac@Type                                                                                                     224
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac@Start                                                                                                    3
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac@ErrorControl                                                                                             0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac@ImagePath                                                                                                C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac@DisplayName                                                                                              User Data Access_7baeac
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac@FailureActions                                                                                           0x80 0x51 0x01 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac@Description                                                                                              @%SystemRoot%\system32\UserDataAccessRes.dll,-14000
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac\Security                                                                                                 
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac\Security@Security                                                                                        0x01 0x00 0x04 0x80 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\UserDataSvc_7baeac                                                                                                          
Reg     HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeEstimated                                                                                0x2A 0xA1 0xE1 0xF5 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeHigh                                                                                     0x2A 0x09 0xA6 0x57 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeLow                                                                                      0x2A 0x39 0x1D 0x94 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Object List                                                                                            15548 15554 15566 15576 15586 15606 15650 15660 15698 15704 15720
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Counter                                                                                           15726
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Help                                                                                              15727
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Counter                                                                                          15548
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Help                                                                                             15549
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac                                                                                                       
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac@Type                                                                                                  224
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac@Start                                                                                                 3
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac@ErrorControl                                                                                          0
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac@ImagePath                                                                                             C:\WINDOWS\system32\svchost.exe -k UnistackSvcGroup
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac@DisplayName                                                                                           Windows Push Notifications User Service_7baeac
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac@FailureActions                                                                                        0x80 0x51 0x01 0x00 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac@Description                                                                                           @%SystemRoot%\system32\WpnUserService.dll,-2
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac\Security                                                                                              
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac\Security@Security                                                                                     0x01 0x00 0x04 0x80 ...
Reg     HKLM\SYSTEM\CurrentControlSet\Services\WpnUserService_7baeac                                                                                                       
Reg     HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData@Chrome.UserData.Profile5                                                                        0x1C 0xAE 0x33 0xAC ...
 
---- Disk sectors - GMER 2.2 ----
 
Disk    \Device\Harddisk0\DR0                                                                                                                                              unknown MBR code


#3 MolissArs

MolissArs
  • Topic Starter

  • Members
  • 4 posts
  • OFFLINE
  •  
  • Local time:05:15 AM

Posted 15 February 2017 - 11:00 PM

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2017-02-15 22:00:08
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\0000002d HGST_HTS545050A7E380 rev.GG2OAH20 465.76GB
Running: gmer.exe; Driver: C:\Users\Mo\AppData\Local\Temp\pwlyifob.sys
 
 
---- Disk sectors - GMER 2.2 ----
 
Disk    \Device\Harddisk0\DR0                                                                       unknown MBR code
 
---- Threads - GMER 2.2 ----
 
Thread  C:\WINDOWS\system32\svchost.exe [872:996]                                                   00007ff9258bf950
Thread  C:\WINDOWS\system32\svchost.exe [872:1000]                                                  00007ff9258bed20
Thread  C:\WINDOWS\system32\svchost.exe [872:312]                                                   00007ff925698ae0
Thread  C:\WINDOWS\system32\svchost.exe [644:1960]                                                  00007ff91b9050c0
Thread  C:\WINDOWS\system32\svchost.exe [644:1188]                                                  00007ff91b401a50
Thread  C:\WINDOWS\system32\svchost.exe [644:2588]                                                  00007ff9185f39b0
Thread  C:\WINDOWS\system32\svchost.exe [644:5384]                                                  00007ff91e6c0ed0
Thread  C:\WINDOWS\system32\svchost.exe [644:5388]                                                  00007ff91e6b4fc0
Thread  C:\WINDOWS\system32\svchost.exe [644:5644]                                                  00007ff91e806390
Thread  C:\WINDOWS\system32\svchost.exe [644:5664]                                                  00007ff91df778e0
Thread  C:\WINDOWS\system32\svchost.exe [644:5676]                                                  00007ff91e83caf0
Thread  C:\WINDOWS\system32\svchost.exe [644:5680]                                                  00007ff91e841f30
Thread  C:\WINDOWS\system32\svchost.exe [644:5904]                                                  00007ff91d3c1040
Thread  C:\WINDOWS\system32\svchost.exe [644:5980]                                                  00007ff91d2248e0
Thread  C:\WINDOWS\system32\svchost.exe [644:5964]                                                  00007ff91d2248e0
Thread  C:\WINDOWS\system32\svchost.exe [644:4212]                                                  00007ff91ee730f0
Thread  C:\WINDOWS\System32\svchost.exe [840:1356]                                                  00007ff9212a4310
Thread  C:\WINDOWS\System32\svchost.exe [840:1820]                                                  00007ff91b713520
Thread  C:\WINDOWS\System32\svchost.exe [840:2404]                                                  00007ff91a112af0
Thread  C:\WINDOWS\System32\svchost.exe [840:2408]                                                  00007ff91a112a40
Thread  C:\WINDOWS\System32\svchost.exe [840:5916]                                                  00007ff91a105c80
Thread  C:\WINDOWS\System32\svchost.exe [840:6388]                                                  00007ff91a10fdf0
Thread  C:\WINDOWS\System32\svchost.exe [840:3804]                                                  00007ff919f351d0
Thread  C:\WINDOWS\System32\svchost.exe [840:4644]                                                  00007ff919f372d0
Thread  C:\WINDOWS\system32\svchost.exe [1132:1892]                                                 00007ff9261c6750
Thread  C:\WINDOWS\system32\svchost.exe [1132:2028]                                                 00007ff9261c6750
Thread  C:\WINDOWS\system32\svchost.exe [1132:1488]                                                 00007ff9261c6750
Thread  C:\WINDOWS\system32\svchost.exe [1132:1936]                                                 00007ff91ac8c5a0
Thread  C:\WINDOWS\system32\svchost.exe [1132:2296]                                                 00007ff91a96af40
Thread  C:\WINDOWS\system32\svchost.exe [1132:2312]                                                 00007ff91a96ca00
Thread  C:\WINDOWS\system32\svchost.exe [1132:2392]                                                 00007ff91ac8eab0
Thread  C:\WINDOWS\system32\svchost.exe [1132:2456]                                                 00007ff91ac8d2d0
Thread  C:\WINDOWS\system32\svchost.exe [1132:2460]                                                 00007ff91ac8e100
Thread  C:\WINDOWS\system32\svchost.exe [1132:2936]                                                 00007ff919281240
Thread  C:\WINDOWS\system32\svchost.exe [1132:2940]                                                 00007ff916daa3b0
Thread  C:\WINDOWS\system32\svchost.exe [1132:2944]                                                 00007ff9167525e0
Thread  C:\WINDOWS\system32\svchost.exe [1132:3040]                                                 00007ff914523bc0
Thread  C:\WINDOWS\system32\svchost.exe [1132:7808]                                                 00007ff914522080
Thread  C:\WINDOWS\system32\svchost.exe [1148:5500]                                                 00007ff91458ac90
Thread  C:\WINDOWS\system32\svchost.exe [1148:5404]                                                 00007ff914583590
Thread  C:\WINDOWS\system32\svchost.exe [1284:1756]                                                 00007ff91bb199e0
Thread  C:\WINDOWS\system32\svchost.exe [1284:1760]                                                 00007ff91c9e2cf0
Thread  C:\WINDOWS\System32\svchost.exe [1392:1576]                                                 00007ff91ca5c030
Thread  C:\WINDOWS\System32\svchost.exe [1392:1604]                                                 00007ff91ca57000
Thread  C:\WINDOWS\System32\svchost.exe [1392:1608]                                                 00007ff91ca5ad30
Thread  C:\WINDOWS\System32\svchost.exe [1392:1616]                                                 00007ff91ca58370
Thread  C:\WINDOWS\System32\svchost.exe [1392:1896]                                                 00007ff91b3b87e0
Thread  C:\WINDOWS\System32\svchost.exe [1392:6152]                                                 00007ff91794dbe0
Thread  C:\WINDOWS\System32\svchost.exe [1392:4088]                                                 00007ff91794dbe0
Thread  C:\WINDOWS\System32\svchost.exe [1392:4716]                                                 00007ff91ca5c830
Thread  C:\WINDOWS\System32\svchost.exe [1392:492]                                                  00007ff91ca57d50
Thread  C:\WINDOWS\system32\svchost.exe [1536:1656]                                                 00007ff91c7ee830
Thread  C:\WINDOWS\system32\svchost.exe [1536:1668]                                                 00007ff91c5c10a0
Thread  C:\WINDOWS\system32\svchost.exe [1536:1764]                                                 00007ff91c9e2cf0
Thread  C:\WINDOWS\system32\svchost.exe [1536:1968]                                                 00007ff91b9c5bd0
Thread  C:\WINDOWS\system32\svchost.exe [1536:1976]                                                 00007ff91b9c9b20
Thread  C:\WINDOWS\system32\svchost.exe [1536:1984]                                                 00007ff91c9e2cf0
Thread  C:\WINDOWS\System32\spoolsv.exe [1784:6576]                                                 00007ff919305bc0
Thread  C:\WINDOWS\System32\spoolsv.exe [1784:6580]                                                 00007ff9192e2740
Thread  C:\WINDOWS\system32\svchost.exe [1496:2448]                                                 00007ff91a0858c0
Thread  C:\WINDOWS\system32\svchost.exe [1496:2464]                                                 00007ff91a0858c0
Thread  C:\WINDOWS\system32\inetsrv\inetinfo.exe [1864:2512]                                        00007ff919d06f10
Thread  C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe [2060:3012]  00007ff91502502c
Thread  C:\WINDOWS\system32\vmms.exe [2224:6128]                                                    00007ff909f37150
Thread  C:\WINDOWS\system32\vmms.exe [2224:6136]                                                    00007ff909f37150
Thread  C:\WINDOWS\system32\vmms.exe [2224:6140]                                                    00007ff909f37150
Thread  C:\WINDOWS\Explorer.EXE [5540:3952]                                                         00007ff90a87bb70
Thread  C:\WINDOWS\Explorer.EXE [5540:3920]                                                         00007ff925081ba0
Thread  C:\WINDOWS\Explorer.EXE [5540:6552]                                                         00007ff9133d36f0
Thread  C:\WINDOWS\Explorer.EXE [5540:1432]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\Explorer.EXE [5540:7068]                                                         00007ff915c25110
Thread  C:\WINDOWS\Explorer.EXE [5540:3440]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\Explorer.EXE [5540:4036]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\Explorer.EXE [5540:4972]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\Explorer.EXE [5540:5828]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\Explorer.EXE [5540:6096]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\Explorer.EXE [5540:6060]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\Explorer.EXE [5540:2096]                                                         00007ff9133e20e0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:5944]                                                   0000000001471813
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:1264]                                                   0000000071f03eb0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:4724]                                                   0000000071f1e590
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:4704]                                                   000000006f204df5
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:4700]                                                   000000006f30e50d
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:332]                                                    000000006ed16590
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:596]                                                    000000006c87b0c3
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:1192]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:1196]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:1248]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:5456]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:1200]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:4924]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:752]                                                    000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:756]                                                    000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:4964]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:5448]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:736]                                                    000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:5132]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:1092]                                                   000000006da8f190
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:2760]                                                   000000006a120030
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:3972]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:4728]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:4152]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:3344]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:3284]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6404:1388]                                                   000000006a3c9a00
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:4756]                                                   0000000000de42f9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:2812]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:5588]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:6400]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:7032]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:3540]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:6780]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:948]                                                    00000000677346a0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:4556]                                                   00000000675f61ed
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:5580]                                                   00000000675f61ed
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:4920]                                                   00000000675f61ed
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:5568]                                                   00000000675f61ed
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:6512]                                                   0000000000b438f0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:6600]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [6536:3164]                                                   0000000000df33a9
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:5188]                                                   0000000001377c0c
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:6316]                                                   000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:4776]                                                   000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:584]                                                    000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:4056]                                                   000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:6356]                                                   000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:2212]                                                   000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:5816]                                                   000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:5868]                                                   000000000137ac20
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:6232]                                                   0000000066a68ccb
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:6324]                                                   0000000065ec83a0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:7116]                                                   0000000065e94920
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:6540]                                                   00000000668c37a0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:6416]                                                   0000000065f1ebf0
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:5316]                                                   0000000065e94f50
Thread  C:\WINDOWS\SYSTEM32\ntdll.dll [5504:5168]                                                   0000000065e94920
Thread   [1172:4588]                                                                                000000006c87b0c3
Thread   [1172:4688]                                                                                000000006a3c9a00
Thread   [1172:1144]                                                                                0000000077ad67c0
Thread   [1172:1384]                                                                                000000006a3c9a00
Thread   [1172:5216]                                                                                000000006a3c9a00
Thread   [1172:3868]                                                                                000000006a3c9a00
Thread   [1172:548]                                                                                 000000006a3c9a00
Thread   [1172:6520]                                                                                000000006a3c9a00
 
---- EOF - GMER 2.2 ----


#4 nasdaq

nasdaq

  • Malware Response Team
  • 39,569 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Montreal, QC. Canada
  • Local time:07:15 AM

Posted 16 February 2017 - 08:40 AM

Hello, Welcome to BleepingComputer.
I'm nasdaq and will be helping you.

If you can please print this topic it will make it easier for you to follow the instructions and complete all of the necessary steps in the order listed.
===

Temporarily disable your AV program so it does not interfere.
Info on how to disable your security applications How To Temporarily Disable Your Anti-virus, Firewall And Anti-malware Programs - Security Mini-Guides.

Download Zoek tool from here

When the download appears, save to the Desktop.
On the Desktop, right-click the Zoek.exe file and select: Run as Administrator
(Give it a few seconds to appear.)

Next, copy/paste the entire script inside the code box below to the input field of Zoek:
createsrpoint;
autoclean;
emptyclsid;
emptyffcache;
FFdefaults;
emptyiecache;
iedefaults;
emptychrcache;
CHRdefaults;
emptyalltemp;
emptyfolderscheck;delete
ipconfig /flushdns;b
Now...
Close any open Browsers.
Click the Run script button, and wait. It takes a few minutes to run all the script.

When the tool finishes, the zoek-results.log is opened in Notepad.
The log is also found on the systemdrive, normally C:\
If a reboot is needed, the log is opened after the reboot.

Please attach the zoek-results.log in your reply.
===

--RogueKiller--
  • Download & SAVE to your Desktop Download RogueKiller
  • Quit all programs that you may have started.
  • Please disconnect any USB or external drives from the computer before you run this scan!
  • For Vista or above, right-click the program file and select "Run as Administrator"
  • Accept the user agreements.
  • Execute the scan and wait until it has finished.
  • If a Windows opens to explain what [PUM's] are, read about it.
  • Click the RoguKiller icon on your taksbar to return to the report.
  • Click open the Report
  • Click Export TXT button
  • Save the file as ReportRogue.txt
  • Click the Remove button to delete the items in RED
  • Click Finish and close the program.
  • Locate the ReportRogue.txt file on your Desktop and copy/paste the contents in your next.
=======

Download the version of this tool for your operating system.
Farbar Recovery Scan Tool (64 bit)
Farbar Recovery Scan Tool (32 bit)
and save it to a folder on your computer's Desktop.
Double-click to run it. When the tool opens click Yes to disclaimer.
Press Scan button.
It will make a log (FRST.txt) in the same directory the tool is run. Please copy and paste it to your reply.
The first time the tool is run, it makes also another log (Addition.txt). Please attach it to your reply.

How to attach a file to your reply:
In the Reply section in the bottom of the topic Click the "more reply Options" button.
attachlogs.png

Attach the file.
Select the "Choose a File" navigate to the location of the File.
Click the file you wish to Attach.

Click the Add reply button.
===

Please post the logs.

Also, please provide an update on how the computer is behaving after running the above script.

#5 MolissArs

MolissArs
  • Topic Starter

  • Members
  • 4 posts
  • OFFLINE
  •  
  • Local time:05:15 AM

Posted 18 February 2017 - 08:25 PM

seems to be running about the same, attached logs. Thanks

Attached Files



#6 nasdaq

nasdaq

  • Malware Response Team
  • 39,569 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Montreal, QC. Canada
  • Local time:07:15 AM

Posted 19 February 2017 - 09:54 AM



Please run the RogueKiller tool and delete this item.

¤¤¤ Tasks : 1 ¤¤¤
[Hj.Name] \Auslogics\BoostSpeed\Scan and Repair -- rundll32.exe (TaskSchedulerHelper.dll,RunTask "BoostSpeed.exe" "-UseTray -Schedule") -> Found

===

Press the windows key Windows_Logo_key.gif+ r on your keyboard at the same time. This will open the RUN BOX.
Type Notepad and and click the OK key.

Please copy the entire contents of the code box below to a new file.


Start

CreateRestorePoint:
CloseProcesses:

CHR Extension: (Chrome Web Store Payments) - C:\Users\Mo\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-02-18]
CHR Extension: (Chrome Media Router) - C:\Users\Mo\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-18]
S3 efavdrv; \??\C:\WINDOWS\system32\drivers\efavdrv.sys [X]
S3 esihdrv; \??\C:\Users\Mo\AppData\Local\Temp\esihdrv.sys [X] <==== ATTENTION
S3 VSScanner; system32\DRIVERS\vsscanner.sys [X]
S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
CustomCLSID: HKU\S-1-5-21-961241855-2989612047-2530864471-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-7A4744625FE4}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => No File

Reboot:

End
Save the file as fixlist.txt in the same folder where the Farbar tool is running from.
The location is listed in the 3rd line of the Farbar log you have submitted.

Run FRST and click Fix only once and wait.

The tool will create a log (Fixlog.txt) please post it to your reply.

Please let me know what problem persists with this computer.

#7 nasdaq

nasdaq

  • Malware Response Team
  • 39,569 posts
  • OFFLINE
  •  
  • Gender:Male
  • Location:Montreal, QC. Canada
  • Local time:07:15 AM

Posted 25 February 2017 - 09:29 AM

Are you still with me?




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users