Frage : Rootkit.Agent auf Maschinenbordbuch dem Windows- XpSP3 ComboFix entfernen angebracht

Ich habe eine XPP Maschine mit RootKit.Agent auf ihm ermittelte durch MalwareBytes.  Ich versuchte ein Bündel Zeiten, mit MWB aber keinen Erfolg loszuwerden.  Ließ ComboFix laufen und ist hier das Maschinenbordbuch.  Es ermittelte RootKit MBR Haken, aber ich bin nicht sicher, wie man es regelt.  Irgendwelche Gedanken?

ComboFix Maschinenbordbuch:

ComboFix 10-06-17.01 - 14:45 des Ed 06/17/2010: 42.1.2 - x86
Microsoft Windows XP Fachmann 5.1.2600.3.1252.1.1033.18.3071.2680 [GMT--4:00]
Running von: C:\New Folder\ComboFix.exe
.

(((((((((((((((((((((((((( (((((((((( (((andere Auslassungen)))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\win.co m
D:\Autorun.inf

.
(((((((((((((((((((((((((Akten hergestellt von 2010-05-17 bis 2010-06-17)))))))))))))))))))))))))))))))
.

2010-06-17 18:06: 21. 2010-06-17 18:06: 21 27140      ---Ha-w-C:\WINDOWS\system32\mlfcac he.dat
2010-06-17 18:03: 54. 2010-06-17 18:30: 40 664      ----Aw C:\WINDOWS\system32\d3d9ca ps.dat
2010-06-17 16:24: 04. 2010-04-29 19:39: 38 38224      ----Aw C:\WINDOWS\system32\driver s \ mbamswissarmy.sys
2010-06-17 16:24: 02. 2010-04-29 19:39: 26 20952      ----Aw C:\WINDOWS\system32\driver s \ mbam.sys
2010-06-17 16:17: 24. 2010-06-17 16:17: 24      --------      d-----w C:\Documents and Settings\ed\Application Daten- \ TeamViewer
2010-06-17 16:14: 35. 2010-06-17 16:14: 35      --------      d-----Einstellungen w-C:\Documents and Settings\ed\Local \ Anwendung Daten- \ PCHealth
2010-06-17 16:02: 26. 2010-06-17 16:03: 24      --------      d-----w C:\Documents and Settings\LocalService\Loca l Einstellungen \ Anwendung Daten- \ Temp
2010-06-17 16:00: 59. 2010-06-17 16:00: 59      --------      d-----w C:\WINDOWS\system32\wbem\R epository
2010-06-16 20:19: 09. 2010-06-16 20:19: 09      --------      d-----w C:\Program Files\Sophos
2010-06-16 19:51: 50. 2010-06-17 15:58: 17      --------      d-----w C:\Documents and Settings\HelpAssistant\ _rpcs
2010-06-16 19:44: 24. 2009-11-11 18:00: 27      --------      d-----w C:\Documents and Settings\HelpAssistant\IET ldCache
2010-06-16 19:44: 23. 2010-06-17 15:58: 26      --------      d-s---w C:\Documents and Settings\HelpAssistant
2010-06-16 19:38: 52. 2010-06-16 19:38: 52      --------      d-----w C:\Documents and Settings\ed\Application Daten- \ Malwarebytes
2010-06-16 19:38: 43. 2010-06-16 19:38: 43      --------      d-----Benutzer w-C:\Documents and Settings\All \ Anwendung Daten- \ Malwarebytes
2010-06-16 19:38: 42. 2010-06-17 16:24: 06      --------      d-----w C:\Program Files\Malwarebytes ' Anti-Malware

.
(((((((((((((((((((((((((( (((((((((( ((((Find3M Report))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-17 17:55: 20. 2009-10-19 16:37: 42      --------      d-----w C:\Documents and Settings\ed\Application Daten- \ Apple-Computer
2010-06-17 16:02: 35. 2009-02-23 21:56: 03      --------      d-----Benutzer w-C:\Documents and Settings\All \ Anwendung Daten- \ GoogleUpdater
2010-06-10 20:47: 58. 2008-09-12 13:09: 28      --------      d-----Benutzer w-C:\Documents and Settings\All \ Anwendungs-Daten- \ Microsoft-Help
2010-06-01 12:29: 28. 2008-11-12 14:56: 58 1682      --Benutzer Sha-w-C:\Documents and Settings\All \ 12:29 der Anwendungs-Daten \ KGyGaAvL.sys
2010-06-01: 28. 2008-11-12 14:56: 58 1682      --Benutzer Sha-w-C:\Documents and Settings\All \ 14:39 der Anwendungs-Daten \ KGyGaAvL.sys
2010-05-26: 08. 2010-06-16 20:19: 38 6144      ------w C:\WINDOWS\system32\5.tmp
2010-05-26 14:39: 08. 2010-06-16 20:19: 27 6144      ------w C:\WINDOWS\system32\4.tmp
2010-05-26 14:39: 08. 2010-06-16 20:19: 15 6144      ------w C:\WINDOWS\system32\3.tmp
2010-05-24 13:23: 06. 2009-02-23 21:56: 01      --------      d-----w C:\Program Files\Google
2010-05-10 12:27: 32. 2008-09-25 18:42: 19      --------      d-----w C:\Program Files\Common Akten- \ Adobe
2010-03-24 18:17: 47. 2010-03-24 08:04: 49 952768      ----Benutzer Aw-C:\Documents and Settings\All \ Anwendungs-Daten \ Adobe \ Leser \ 9.2 \ ARM \ ARM 18:17 des Updates \ AdobeARM.exe
2010-03-24: 47. 2010-03-24 08:04: 49 70584      ----Benutzer Aw-C:\Documents and Settings\All \ Anwendungs-Daten \ Adobe \ Leser \ 9.2 \ ARM \ ARM 18:17 des Updates \ AdobeExtractFiles.dll
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----Benutzer Aw-C:\Documents and Settings\All \ Anwendungs-Daten \ Adobe \ Leser \ 9.2 \ ARM \ ARM 18:17 des Updates \ ReaderUpdater.exe
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----Benutzer Aw-C:\Documents and Settings\All \ Anwendungs-Daten \ Adobe \ Leser \ 9.2 \ ARM \ ARM Update \ AcrobatUpdater.exe
.

(((((((((((((((((((((((((( (((((((((( (Ausrichtungs-Laden-Punkte))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* leeren Eintragungen u. werden Legitrückstellungseintragungen nicht
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ gelaufen]
" TSTimer " = " C:\Program Files\Timeslips\TSTimer.ex e " gezeigt [22:28 2006-06-15: 34 2429992]
" swg " = " C:\Program Files\Google\GoogleToolbar Notifier \ GoogleToolbarNotifier.exe " [21:56 2009-02-23: 03 39408]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ gelaufen]
" IgfxTray " = " C:\WINDOWS\sys tem32 \ igfxtray.exe " [15:08 2007-11-26: 42 141848]
" HotKeysCmds " = " C:\WINDOWS\ system32 \ hkcmd.exe " [15:08 2007-11-26: 24 166424]
" Ausdauer " = " C:\WINDOWS\ system32 \ igfxpers.exe " [15:08 2007-11-26: 6 137752]
" pdf komplett " = " C:\Program Files\PDF komplett \ pdfsty.exe " [14:10 2008-04-07: 52 318488]
" SetRefresh " = " C:\Program Files\Compaq\SetRefresh\Se tRefresh.exe " [19:01 2003-11-20: 08 525824]
" Recguard " = " C:\WINDOWS\Smi nst \ Recguard.exe " [19:50 2006-05-12: 16 1138688]
" Anzeige " = " C:\WINDOWS\Cre ator \ Remind_XP.exe " [21:44 2006-03-31: 26 761856]
" Scheduler " = " C:\WINDOWS\SM INST \ Scheduler.exe " [17:53 2006-07-10: 08 872448]
" Matrox PowerDesk Se " = " c:\Program Files\Matrox Graphics Inc \ PowerDesk Se \ Matrox.PowerDesk SE.exe " [20:33 2008-06-11: 38 2630664]
" Act.Outlook.Service " = " C:\ Program Akten \ TAT \ Tat für Windows \ Act.Outlook.Service.exe " [16:08 2009-02-24: 48 28672]
" Tat! Preloader " = " C:\Program Files\ACT\Act für Windows \ ActSage.exe " [16:09 2009-02-24: 14 393216]
" Google schneller Suchkasten " = " C:\Program Files\Google\Quick-Suchkasten \ GoogleQuickSearchBox.exe " [13:45 2009-05-27: 19 68592]
" AppleSyncNotifier " = " C:\Pr ogram Akten \ Gemeinschaftsdateien \ Apple \ tragbares Gerät Unterstützung \ Sortierfach \ AppleSyncNotifier.exe " [20:51 2009-08-13: 42 177440]
" QuickTime Aufgabe " = " C:\Program Files\QuickTime\qttask.exe " [04:08 2009-11-11: 18 417792]
" iTunesHelper " = " C:\Program Akten \ iTunes \ iTunesHelper.exe " [23:07 2010-02-15: 02 141608]
" KMCONFIG " = " C:\Program Files\iHome\Mouse-Fahrer \ StartAutorun.exe " [06:22 2008-05-30: 32 212992]
" Kern und Hardware-Abstraktions-Schicht " = " KHALMNPR.EXE " [18:46 2008-10-10: 26 69632] hält
" STFWebFormApp " = " C:\Progra m Akten \ Gemeinschaftsdateien \ STF geteilt \ WebFormApp.exe " instand [19:10 2010-04-08: 34 85128]
" Adobe Leser-Geschwindigkeits-Abschussrampe " = " C:\Program Files\Adobe\Reader 9.0 \ Leser \ Reader_sl.exe " [05:42 2010-04-04: 51 36272]
" Adobe ARM " = " C:\Program Files\Common-Akten \ Adobe \ ARM \ 1.0 \ AdobeARM.exe " [18:17 2010-03-24: 52 952768]

C:\Documents and Settings\All Benutzer \ Anfangsmenü \ Programme \ Start \
Device Detektor 3.lnk - C:\Program Files\Olympus\DeviceDetect or \ DevDtct2.exe [2009-2-5 163840]
Directrec Konfiguration Tool.lnk - C:\Program Files\Olympus\DeviceDetect or \ DirectrecConfig.exe [2009-2-5 167936]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\Se tPoint.exe [2010-3-25 809488]
MultiMon Taskbar.lnk - C:\Program Files\MMTaskbar\MultiMon.e xe [2008-9-15 294912]
Windows Search.lnk - C:\Program Files\Windows-Tischplattensuche\ WindowsSearch.exe [2008-5-26 123904]

[HKEY_CURRENT_USER \ software \ microsoft \ Fenster \ currentversion \ policies \ system]
" HideLogonScripts " = 0

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} „= „C:\Program Files\Windows-Tischplattensuche \ MSNLNamespaceMgr.dll“ [02:41 2009-05-25: 34 304128]

[HKEY_LOCAL_MACHINE \ software \ microsoft \ windows NT \ currentversion \ winlogon \ teilen mit, \ LBTWlgn],
2008-11-07 20:41: 22 72208      ----Akten Aw-c:\Program Files\Common \ Logishrd \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup]
@= ""

[HKLM \ ~ \ Dienstleistungen \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List]
" %windir% \ \ system32 \ \ sessmgr.exe " =
" C:\ \ WINDOWS-\ \ SMINST \ \ Scheduler.exe " =
" %windir% \ \ Netzdiagnose\ \ xpnetdiag.exe " =
" C:\ \ Programm-Akten \ \ Microsoft Office\ \Office12 \ \ OUTLOOK.EXE " =

[HKLM \ ~ \ Dienstleistungen \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ Liste]
" 65533: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: FernDesktop

R1 Mtxparmx; Mtxparmx; C:\WINDO WS \ system32 \ Fahrer \ mtxparmx.sys [9/12/2008 8:22: 20 MORGENS 5504]
R2 KMWDSERVICE; Tastatur-und MäuseKommunikationsservice; C:\Program Files\iHome\Mouse-Fahrer \ KMWDSrv.exe [6/23/2008 10:28: 08 P.M. 208896]
R2 LBeepKE; LBeepKE; C:\WINDOWS \ system32 \ drivers \ LBeepKE.sys [3/25/2010 11:33: 37 morgens 10384]
R2 Matrox, das Service zentriert; Matrox, das Service zentriert; C:\Program Files\Matrox Graphics Inc \ PowerDesk \ Dienstleistungen \ Matrox.PowerDesk. Services.exe [6/11/2008 4:29: 26 P.M. 586760]
R2 Matrox.Pdesk.ServicesHost; Matrox.Pdesk. ServicesHost; C:\P rogram Akten \ Matrox Graphics Inc \ PowerDesk Se \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 4:33: 38 P.M. 189448]
R2 MSSQL$ACT7; SQL-Server (ACT7); C:\Program Files\Microsoft-SQL-Server \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 3:27: 04 morgens 29262680]
R2 pdfcDispatcher; Pdf-Dokumenten-Manager; C:\Program Files\PDF komplett \ pdfsvc.exe [5/27/2008 5:19: 14 MORGENS 576024]
R3 MTXPAR; MTXPAR; C:\WINDOWS\s ystem32 \ drivers \ MTXPARM.sys [9/12/2008 8:22: 20 MORGENS 1485568]
S2 TAT! Scheduler; TAT! Scheduler; C:\Program Files\ACT\Act für Windows \ Act.Scheduler.exe [2/24/2009 12:08: 50 P.M. 81920]
S2 gupdate1c9960193c6b225; Google Update-Service (gupdate1c9960193c6b225); C: \ Programm-Akten \ Google \ Update \ GoogleUpdate.exe [2/23/2009 5:56: 27 P.M. 133104]
S2 TSScheduleBackup; TimeslipsBackup; C:\ WINDOWS \ system32 \ TSSchBkpService.exe [9/15/2008 12:47: 43 P.M. 705024]
.
Contents der „zeitlich geplante Aufgaben“ folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft wareUpdate.job
- C:\Program Files\Apple Software-Aktualisierung \ SoftwareUpdate.exe [16:34 2008-07-30: 12. 2008-07-30 16:34: 12]

2010-06-17 C:\WINDOWS\Tasks\Google Software Updater.job
- C:\Program Files\Google\Common\Google Updater \ GoogleUpdaterService.exe [21:56 2009-02-23: 01. 2009-03-24 14:54: 17]

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google Update.exe [21:56 2009-02-23: 27. 2009-02-23 21:56: 24]

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google Update.exe [21:56 2009-02-23: 27. 2009-02-23 21:56: 24]
.
.
------- Ergänzungsscan -------
.
uStart Seite = hxxp: //my.yahoo.com/
uInternet Einstellungen, ProxyOverride = *.local
IE: &AOL Symbolleisten-Suche - C:\Documents and Settings\All-Benutzer \ Anwendungs-Daten \ AOL \ ieToolbar \ resources \ EnUS \ local \ search.html
IE: E&xport zu Microsoft Excel - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - WAISEN ENTFERNTE - - - -

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \ Leser \ AdobeUpdateManager.exe



************************** ********** ********** ********** ********** ********

catchme 0.3.1398 W2K/XP/Vista - rootkit/Heimlichkeit malware Detektor durch Gmer, 15:00 Scans 2010-06-17 des http://www.gmer.net-
Rootkit: 42
Windows 5.1.2600 Service Pack 3 NTFS

scanning versteckt verarbeitet…

scanning versteckte Selbststarteintragungen…

scanning versteckte Akten…

scan abgeschlossene successfully
hidden Akten: 0

************************** ********** ********** ********** ********** ********

Stealth MBR rootkit/Mebroot/Sinowal Detektor 0.3.7 durch Gmer, http://www.gmer.net

device: geöffnetes successfully
user: MBR las successfully
called Module: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8983C78A] <<
kernel: MBR las successfully
detected MBR rootkit Haken:
\ Fahrer \ Scheibe - > CLASSPNP.SYS @ 0xba0ecf28
\ Fahrer \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ Fahrer \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ Vorrichtung \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168C (P)/8111C (P) ist PCI-E Gigabit-Ethernet NIC - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy von MBR Sektor 0x03A380D80
malicious im Code@ Sektor 0x03A380D83 gefunden worden!
PE Akte fand im Sektor an 0x03A380D99!
MBR rootkit Infektion ermittelt! Gebrauch: „mbr.exe - f“ fix.

************************** ********** ********** ********** ********** ********

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher] zum
" ImagePath " = " C:\Program Files\PDF komplett \ pdfsvc.exe /startedbyscm: 66B66708-40E2BE4D-pdfcService "
.
--------------------- DLLs lud unter laufenden Prozessen ---------------------

- - - - - - - > „winlogon.exe“ (716)
c:\program files\common archiviert, \ logishrd, \ bluetooth, \ LBTWlgn.dll
c:\program files\common Akten \ logishrd \ bluetooth \ LBTServ.dll

- - - - - - - > „lsass.exe“ (772)
C:\Program Files\Bonjour\mdnsNSP.dll
.
Completion Zeit: 2010-06-17 15:02: 08
ComboFix-quarantined-files.txt 2010-06-17 19:02: 06

Pre-Run: 464.428.068.864 Bytes free
Post-Run: 464.632.573.952 Bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[Aufladungsladevorrichtung]
timeout=2
default=multi (0) Scheibe (0) rdisk (0) partition (1) \ WINDOWS
[Betriebssysteme]
C:\CMDCONS\BOOTSECT.DAT = " Microsoft Windows Wiederaufnahmen-Konsolen“ /cmdcons
multi (0) Scheibe (0) rdisk (0) partition (1) \ WINDOWS= " Microsoft Windows Xp Berufs“ /noexecute =optin /fastdetect

- - Dateiende - - 8C319282DDFBE1A4552469747AD1DA29

Antwort : Rootkit.Agent auf Maschinenbordbuch dem Windows- XpSP3 ComboFix entfernen angebracht

Nutzen der Netz-Entwicklung
------------------------------

    * Anwendungsdienstleistungen leicht aufbauen und schnell und entfalten
    * Services in der sichersten, ersteigbarsten, highly-available Umwelt laufen lassen
    * Software-Anlagegüter wiederverwenden und ihre Reichweite verlängern
    * Anwendungen mühelos handhaben
    * Wachsen, wie Notwendigkeiten entwickeln und Kernanlagegüter und Fähigkeiten wirksam einsetzen
    * WebSphere Applikationsserver-Netz-Entwicklung liefert die sichere, ersteigbare, highly-available Anwendungsinfrastruktur, die Sie für SOA benötigen.
    * Erhöhte Netz serveices Funktionen

Was können wir mit Netz-Entwicklung tun?
----------------------------------------

Das Hauptthema mit Netz deoplyment ist verteilte Anwendungen. Während der Fluss einer Anwendung der selbe bleiben, gibt es signigicant Zusätze zur Laufzeit einer Anwendung.


1) Netz-Entwicklung. Diese Version stützt Entwicklung einer Zellenkonfiguration mit Block- und J2EE Failoverunterstützung. Sie jetzt einschließt auch die Rand-Bestandteile t, vorher bekannt als Rand-Bediener. Dieses liefert einen Proxy-Server, die balancierende Last und Inhalt-gegründete Wegewahl.

2) Applikationsserver-Netz-Entwicklung IBM-WebSphere liefert die Verwaltungsfunktionalität, um Ihren Anwendungscode zu allen Nullpunkten in Ihrem Applikationsserverblock zu entfalten und zu fördern.

WAR Nd zur Verfügung stellt Flexibilität für das Verbreiten Ihrer Anwendungen über Zellen, Nullpunkten und Applikationsservern

WAR Nd zulässt viele Nullpunkte, mit mehrfachen Applikationsservern auf jedem Nullpunkt und mehrfachen Anwendungen in jedem Bediener.

3) Sammeln und Failoverunterstützung

4) web server Einsteck-in den Unterstützungen belastete Arbeitsbelastungsmanagement


Netz-Entwicklungkonzepte?
---------------------------

Anode ist eine logische Gruppierung des Applikationsservers

-- jeder Nullpunkt gehandhabt durch einen einzelnen nodeagent Prozess
-- mutiple Nullpunkte können von der einzelnen Maschine durch den Gebrauch von Profilen existieren

Ein Prozess des Entwicklungmanagers (dmgr) handhabt die nodeagents
-- hält die Konfiguration respoitory für den gesamten Versorgungsbereich, benannt eine Zelle

-- innerhalb einer Zelle läuft die Verwaltungskonsole innerhalb des dmgr using diese Konsole, die Sie alle Nullpunkte in einer Zelle handhaben können.

-- Alle Updates zu den Konfigurationsakten sollten den Entwicklungmanager durchlaufen.