Author Topic: [In Progress] possible rootkit  (Read 1376 times)

Offline fkpc1

  • Bronze Member
  • Posts: 20
  • Ad eundum quo nemo ante iit
Re: [In Progress] possible rootkit
« Reply #15 on: March 15, 2017, 04:25:36 PM »
Autodidacticism

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #16 on: March 15, 2017, 04:38:08 PM »
Yes. Reboot windows cleanly, (while you are running your computer this way, disconnect physically from the internet) and try running GMER again. Post the resulting log up here.

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

Offline fkpc1

  • Bronze Member
  • Posts: 20
  • Ad eundum quo nemo ante iit
Re: [In Progress] possible rootkit
« Reply #17 on: March 15, 2017, 06:03:01 PM »
Got it working

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2017-03-16 00:52:49
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\00000034 WDC_WD5000LPCX-24C6HT0 rev.02.01A02 465,76GB
Running: rvl1qb3c.exe; Driver: C:\Users\bruker\AppData\Local\Temp\fxlyrpog.sys


---- User IAT/EAT - GMER 2.2 ----

IAT      C:\windows\Explorer.EXE[2404] @ C:\windows\system32\MAPI32.dll[KERNEL32.dll!GetModuleHandleA]                                       


---- Threads - GMER 2.2 ----

Thread   C:\windows\system32\csrss.exe [576:600]                                                                                             fffff960009ca2d0

---- Services - GMER 2.2 ----

Service  C:\windows\SysWow64\IntelCpHeciSvc.exe (*** hidden *** )                                                                            [DISABLED] cphs                                                     <-- ROOTKIT !!!
Service  C:\Program Files\Intel\SUR\QUEENCREEK\esrv_svc.exe (*** hidden *** )                                                                [DISABLED] ESRV_SVC_QUEENCREEK                                      <-- ROOTKIT !!!
Service  C:\Program Files\Intel\WiFi\bin\EvtEng.exe (*** hidden *** )                                                                        [DISABLED] EvtEng                                                   <-- ROOTKIT !!!
Service  C:\Program Files\Lenovo\OneKey Optimizer\bin\FbService.exe (*** hidden *** )                                                        [DISABLED] FastbootService                                          <-- ROOTKIT !!!
Service  C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (*** hidden *** )                                     [DISABLED] IAStorDataMgrSvc                                         <-- ROOTKIT !!!
Service  C:\windows\system32\igfxCUIService.exe (*** hidden *** )                                                                            [DISABLED] igfxCUIService1.0.0.0                                    <-- ROOTKIT !!!
Service  C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe (*** hidden *** )                                                           [DISABLED] Intel(R) Capability Licensing Service TCP IP Interface   <-- ROOTKIT !!!
Service  C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe (*** hidden *** )                 [DISABLED] Intel(R) ME Service                                      <-- ROOTKIT !!!
Service  C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe (*** hidden *** )                                               [DISABLED] iumsvc                                                   <-- ROOTKIT !!!
Service  C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (*** hidden *** )                            [DISABLED] jhi_service                                              <-- ROOTKIT !!!
Service  C:\Program Files\Lenovo\iMController\SystemAgentService.exe (*** hidden *** )                                                       [DISABLED] Lenovo System Agent Service                              <-- ROOTKIT !!!
Service  C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (*** hidden *** )                                    [DISABLED] LMS                                                      <-- ROOTKIT !!!
Service  C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe (*** hidden *** )                                         [DISABLED] MozillaMaintenance                                       <-- ROOTKIT !!!
Service  C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe (*** hidden *** )                                                                    [DISABLED] MyWiFiDHCPDNS                                            <-- ROOTKIT !!!
Service  C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (*** hidden *** )                                                    [DISABLED] RegSrvc                                                  <-- ROOTKIT !!!
Service  C:\Program Files\Intel Driver Update Utility\SUR\SurSvc.exe (*** hidden *** )                                                       [DISABLED] SystemUsageReportSvc_QUEENCREEK                          <-- ROOTKIT !!!
Service  C:\Program Files\Intel\SUR\QUEENCREEK\esrv_svc.exe (*** hidden *** )                                                                [DISABLED] USER_ESRV_SVC_QUEENCREEK                                 <-- ROOTKIT !!!
Service  C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe (*** hidden *** )                                                             [DISABLED] ZeroConfigService                                        <-- ROOTKIT !!!

---- Registry - GMER 2.2 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemStartTime                                                                   0xB2 0x3C 0xBB 0x83 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFStartTime                                                                      0x14 0xDD 0xC2 0x83 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFLastStartTime                                                                  0xE7 0x90 0xB9 0x53 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemLastStartTime                                                               0xD9 0x2D 0xB7 0x53 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData\BootLanguages@nb-NO                                                               30
Reg      HKLM\SYSTEM\CurrentControlSet\Control\CrashControl@LastCrashTime                                                                    0x42 0x34 0x35 0x6D ...
Reg      HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\CMN15B70_1E_07DD_8C^A1A9E0A1B6F92A66BCC6BBD88F2AA032@Timestamp  0x9A 0x60 0x7C 0x84 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Control\Lsa@LsaPid                                                                                    632
Reg      HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed                                                   -1133083622
Reg      HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID                                                                    e23c42b4-d271-4935-9d3e-f104a45
Reg      HKLM\SYSTEM\CurrentControlSet\Control\WDI\Config@ServerName                                                                         \BaseNamedObjects\WDI_{be265b23-1843-4d90-830f-5a0153cd631a}
Reg      HKLM\SYSTEM\CurrentControlSet\Services\AVControlCenter@Start                                                                        4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\AVControlCenter                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\f406695d01af                                                         
Reg      HKLM\SYSTEM\CurrentControlSet\Services\CCSDK@Start                                                                                  4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\CCSDK                                                                                       
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cphs@Start                                                                                   4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\cphs                                                                                         
Reg      HKLM\SYSTEM\CurrentControlSet\Services\CxAudMsg@Start                                                                               4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\CxAudMsg                                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ESRV_SVC_QUEENCREEK@Start                                                                    4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ESRV_SVC_QUEENCREEK                                                                         
Reg      HKLM\SYSTEM\CurrentControlSet\Services\EvtEng@Start                                                                                 4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\EvtEng                                                                                       
Reg      HKLM\SYSTEM\CurrentControlSet\Services\FastbootService@Start                                                                        4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\FastbootService                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ialm\Device0@ProfilingToolValues                                                             0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\IAStorDataMgrSvc@Start                                                                       4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\IAStorDataMgrSvc                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ibtsiva@Start                                                                                4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ibtsiva                                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\igfxCUIService1.0.0.0@Start                                                                  4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\igfxCUIService1.0.0.0                                                                       
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Intel(R) Capability Licensing Service TCP IP Interface@Start                                 4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Intel(R) Capability Licensing Service TCP IP Interface                                       
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Intel(R) ME Service@Start                                                                    4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Intel(R) ME Service                                                                         
Reg      HKLM\SYSTEM\CurrentControlSet\Services\iumsvc@Start                                                                                 4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\iumsvc                                                                                       
Reg      HKLM\SYSTEM\CurrentControlSet\Services\jhi_service@Start                                                                            4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\jhi_service                                                                                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo EasyPlus Hotspot@Start                                                                4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo EasyPlus Hotspot                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo OKO Service@Start                                                                     4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo OKO Service                                                                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo Settings Service@Start                                                                4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo Settings Service                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo System Agent Service@Start                                                            4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Lenovo System Agent Service                                                                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LENOVO.CAMMUTE@Start                                                                         4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LENOVO.CAMMUTE                                                                               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LENOVO.TPKNRSVC@Start                                                                        4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LENOVO.TPKNRSVC                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LENOVO.TVTVCAM@Start                                                                         4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LENOVO.TVTVCAM                                                                               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LenovoPAWDService@Start                                                                      4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LenovoPAWDService                                                                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LenovoSetSvr@Start                                                                           4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LenovoSetSvr                                                                                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LenovoWiFiHotspotSvr@Start                                                                   4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LenovoWiFiHotspotSvr                                                                         
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LMS@Start                                                                                    4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LMS                                                                                         
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LSCWinService@Start                                                                          4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\LSCWinService                                                                               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\MaxthonUpdateSvc@Start                                                                       4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\MaxthonUpdateSvc                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\MozillaMaintenance@Start                                                                     4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\MozillaMaintenance                                                                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\MyWiFiDHCPDNS@Start                                                                          4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\MyWiFiDHCPDNS                                                                               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\OKOControlSvc@Start                                                                          4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\OKOControlSvc                                                                               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\PhoneCompanionPusher@Start                                                                   4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\PhoneCompanionPusher                                                                         
Reg      HKLM\SYSTEM\CurrentControlSet\Services\PhoneCompanionVap@Start                                                                      4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\PhoneCompanionVap                                                                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@ReadyBootPlanAge                                                         1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@LastBootPlanUserTime                                                     ?ons?, ?mar ?15 ?17, 11:58:44??????????????????????????????????
Reg      HKLM\SYSTEM\CurrentControlSet\Services\RegSrvc@Start                                                                                4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\RegSrvc                                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\RichVideo64@Start                                                                            4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\RichVideo64                                                                                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch                                                                     2335
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch                                                                    419
Reg      HKLM\SYSTEM\CurrentControlSet\Services\srvnet\Parameters@MajorSequence                                                              50
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SynTP\Parameters@DetectTimeMS                                                                379
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SynTPEnhService@Start                                                                        4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SynTPEnhService                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SystemUsageReportSvc_QUEENCREEK@Start                                                        4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\SystemUsageReportSvc_QUEENCREEK                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3EDE0977-41AC-4F49-9B29-F72C1E2D53D1}@Lease                     1800
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3EDE0977-41AC-4F49-9B29-F72C1E2D53D1}@LeaseObtainedTime         1489617803
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3EDE0977-41AC-4F49-9B29-F72C1E2D53D1}@T1                        1489618703
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3EDE0977-41AC-4F49-9B29-F72C1E2D53D1}@T2                        1489619378
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3EDE0977-41AC-4F49-9B29-F72C1E2D53D1}@LeaseTerminatesTime       1489619603
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{79B0512E-80E5-494C-A1DE-7D7F10BE146B}@Lease                     1800
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{79B0512E-80E5-494C-A1DE-7D7F10BE146B}@LeaseObtainedTime         1489617802
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{79B0512E-80E5-494C-A1DE-7D7F10BE146B}@T1                        1489618702
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{79B0512E-80E5-494C-A1DE-7D7F10BE146B}@T2                        1489619377
Reg      HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{79B0512E-80E5-494C-A1DE-7D7F10BE146B}@LeaseTerminatesTime       1489619602
Reg      HKLM\SYSTEM\CurrentControlSet\Services\USER_ESRV_SVC_QUEENCREEK@Start                                                               4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\USER_ESRV_SVC_QUEENCREEK                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VeriFaceSrv@Start                                                                            4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VeriFaceSrv                                                                                 
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMAuthdService@Start                                                                         4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMAuthdService                                                                               
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMnetDHCP@Start                                                                              4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMnetDHCP                                                                                   
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMUSBArbService@Start                                                                        4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMUSBArbService                                                                             
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMware NAT Service@Start                                                                     4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\VMware NAT Service                                                                           
Reg      HKLM\SYSTEM\CurrentControlSet\Services\WdNisDrv@Start                                                                               2
Reg      HKLM\SYSTEM\CurrentControlSet\Services\WdNisDrv                                                                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ZeroConfigService@Start                                                                      4
Reg      HKLM\SYSTEM\CurrentControlSet\Services\ZeroConfigService                                                                           

---- EOF - GMER 2.2 ----
Autodidacticism

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #18 on: March 17, 2017, 12:59:21 PM »
Sorry it has taken so long to get back to you, it is just I have never seen gmer throw what appears to be so many false positives. I would like you to try something else. Download Malwarebytes and install it. Start it up and along the left side click on settings, then along the top click on protection, then below Scan Options change the rootkit setting to ON. Now go back to the dashboard and click the scan now button.

Post the results. This scan could take hours. You might want to start it just before you go to bed and then let it run all night.

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

Offline fkpc1

  • Bronze Member
  • Posts: 20
  • Ad eundum quo nemo ante iit
Re: [In Progress] possible rootkit
« Reply #19 on: March 17, 2017, 02:40:05 PM »
I tried but the scan only took 6 minutes and no threats were found..


Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 3/17/17
Scan Time: 9:24 PM
Logfile:
Administrator: Yes

-Software Information-
Version: 3.0.6.1469
Components Version: 1.0.75
Update Package Version: 1.0.1527
License: Trial

-System Information-
OS: Windows 8.1
CPU: x64
File System: NTFS
User: Lenovo-PC\bruker

-Scan Summary-
Scan Type: Threat Scan
Result: Completed
Objects Scanned: 390519
Time Elapsed: 5 min, 59 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 0
(No malicious items detected)

Physical Sector: 0
(No malicious items detected)


(end)
Autodidacticism

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #20 on: March 17, 2017, 03:18:53 PM »
You must not have much on this system. I am more willing to believe the Malwarebytes' scan than GMER. The files that GMER detected are all legitimate in location and name.

So lets look at the original problem. Can you post up log entries from your firewall? The ones you are concerned about.

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

Offline fkpc1

  • Bronze Member
  • Posts: 20
  • Ad eundum quo nemo ante iit
Re: [In Progress] possible rootkit
« Reply #21 on: March 17, 2017, 04:18:32 PM »
picture of firewall rules
Autodidacticism

Offline fkpc1

  • Bronze Member
  • Posts: 20
  • Ad eundum quo nemo ante iit
Re: [In Progress] possible rootkit
« Reply #22 on: March 17, 2017, 04:45:52 PM »
I also had a lot of VPN server rules.. but they disappeared after the MBR repair! I have never used a VPN i my life..!
Autodidacticism

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #23 on: March 17, 2017, 05:00:22 PM »
VPN servers are some times installed with some software. The firewall logs I need are what you took an image of. Here is a way to get it into a log you can either paste up or attach to a response. https://www.howtogeek.com/220204/how-to-track-firewall-activity-with-the-windows-firewall-log/

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

Offline fkpc1

  • Bronze Member
  • Posts: 20
  • Ad eundum quo nemo ante iit
Re: [In Progress] possible rootkit
« Reply #24 on: March 17, 2017, 05:49:58 PM »
Firewall log
Autodidacticism

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #25 on: March 17, 2017, 06:15:16 PM »
This is going to take a while. I will get back to you as soon as I can.

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #26 on: March 18, 2017, 06:03:19 PM »
Does your ISP allow you to use IPv6 or just IPv4?

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #27 on: March 18, 2017, 06:27:30 PM »
In the log, I have parsed down the entire log to most of it starting and ending in your computer. This is normal. Of the other IPv4 address's I have gotten it down to the following list of destinations.

Adform A/S
Akamai Technologies  Inc.
Amazon.com  Inc.
AppNexus  Inc
China Networks Inter-Exchange
CloudFlare
Criteo SA
Fastly
GoDaddy.com  LLC
Google Inc.
Hurricane Electric  Inc.
MediaMath Inc
Microsoft Corporation
OPENX TECHNOLOGIES  INC.
Quantcast Corporation
Telenor Norge AS
The Rubicon Project  Inc.
Turn Europe (UK) Ltd.
Wal-Mart Stores Inc.
xaxis  inc.

The only one that I do not know what it is is the Chinanet entry. And there were only 5 of them.

I also checked your traffic by port numbers, and all of them are explainable. Even the IPv6 traffic, the ports are legitimate.

Is there any specific traffic that you have concerns about?

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

Offline fkpc1

  • Bronze Member
  • Posts: 20
  • Ad eundum quo nemo ante iit
Re: [In Progress] possible rootkit
« Reply #28 on: March 19, 2017, 12:14:32 PM »
Hi Hoov, thanks for taking the time to help me :)

My main concern is:
China Networks Inter-Exchange
Hurricane Electric  Inc.


Telenor Norge AS is my ISP and it allow use of IPv6

Autodidacticism

Offline Hoov

  • Malware Removal Mentors
  • Administrator
  • Diamond Member
  • Posts: 27078
  • Unwilling part owner of Gov't. Motors and Chrysler
    • Hoov's Personal Site
Re: [In Progress] possible rootkit
« Reply #29 on: March 19, 2017, 02:07:54 PM »
Hurricane Electric is Legitimate. They do translation between IPv4 and IPv6. Take a look here, http://he.net/ .I know them, they have been around since before IPv6 came online.

I am not too concerned about China Networks Inter-Exchange. They are too big. While there may be a few hackers or botnets in their system, it would be like condemning Verizon because of a few hackers. Also you are using a Lenovo system so there will be some connection thru China Networks Inter-Exchange just because of that. And there were only 5 connections.

Also looking at the ports being used in the log, I did not see anything that concerned me. There were a couple ports that I did not recognize and could not find information on, but they were internal communications only and did not leave your computer.

Former Consumer Security MVP
2011-2014

If I am helping you and you don't hear from me for 24Hrs, send me a PM Please!

 

Click Here