Cuestión : Quitando Rootkit.Agent en el registro de Windows Xp SP3 ComboFix atado

Tengo una máquina de XPP con RootKit.Agent en él detecté por MalwareBytes.  Intenté un manojo de épocas de librarse con MWB pero ningún éxito.  Funcionó ComboFix y aquí es el registro.  Detectó los ganchos de RootKit MBR pero no estoy seguro cómo fijarlo.  ¿Pensamientos? registro del

ComboFix:

ComboFix 10-06-17.01 - 14:45 del ed 06/17/2010: 42.1.2 -
Running del profesional 5.1.2600.3.1252.1.1033.18.3071.2680 [-4:00 de x86
Microsoft Windows XP del GMT] de:
.

de C:\New Folder\ComboFix.exe (((((((((((((((((((((((((( (((((((((( (((otras canceladuras)))))))))))))))))))))))))))))))))))))))))))))))))

.
del m
D:\Autorun.inf del
.

C:\WINDOWS\system32\win.co (((((((((((((((((((((((((archivos creados a partir la 2010-05-17 a 2010-06-17)))))))))))))))))))))))))))))))18:06 del
.

2010-06-17: 21. 2010-06-17 18:06: 21 27140      ---18:03 del he.dat
2010-06-17 de C:\WINDOWS\system32\mlfcac del ha-w-: 54. 2010-06-17 18:30: 40 664      ----16:24 del ps.dat
2010-06-17 del a-w- C:\WINDOWS\system32\d3d9ca: 04. 2010-04-29 19:39: 38 38224      ----s del a-w- C:\WINDOWS\system32\driver \ 16:24 del mbamswissarmy.sys
2010-06-17: 02. 2010-04-29 19:39: 26 20952      ----s del a-w- C:\WINDOWS\system32\driver \ 16:17 de mbam.sys
2010-06-17: 24. 2010-06-17 16:17: 24      --------      d-----16:14 de los datos \ de TeamViewer
2010-06-17 del w C:\Documents and Settings\ed\Application: 35. 2010-06-17 16:14: 35      --------      d-----ajustes del w C:\Documents and Settings\ed\Local \ 16:02 de los datos \ de PCHealth
2010-06-17 de uso: 26. 2010-06-17 16:03: 24      --------      d-----ajustes del l del w C:\Documents and Settings\LocalService\Loca \ 16:00 de los datos \ de Temp
2010-06-17 de uso: 59. 2010-06-17 16:00: 59      --------      d-----20:19 del epository
2010-06-16 del w C:\WINDOWS\system32\wbem\R: 09. 2010-06-16 20:19: 09      --------      d-----19:51 del
2010-06-16 del w C:\Program Files\Sophos: 50. 2010-06-17 15:58: 17      --------      d-----19:44 del _rpcs
2010-06-16 del w C:\Documents and Settings\HelpAssistant\: 24. 2009-11-11 18:00: 27      --------      d-----19:44 del ldCache
2010-06-16 del w C:\Documents and Settings\HelpAssistant\IET: 23. 2010-06-17 15:58: 26      --------      d-s---19:38 del
2010-06-16 del w C:\Documents and Settings\HelpAssistant: 52. 2010-06-16 19:38: 52      --------      d-----19:38 de los datos \ de Malwarebytes
2010-06-16 del w C:\Documents and Settings\ed\Application: 43. 2010-06-16 19:38: 43      --------      d-----usuarios del w C:\Documents and Settings\All \ 19:38 de los datos \ de Malwarebytes
2010-06-16 de uso: 42. 2010-06-17 16:24: 06      --------      d-----w C:\Program Files\Malwarebytes '/>
.
(((((((((((((((((((((((((( (((((((((( ((((informe de Find3M))))))))))))))))))))))))))))))))))))))))))))))))))))17:55 del
.
2010-06-17: 20. 2009-10-19 16:37: 42      --------      d-----16:02 de los datos \ de Apple Computer
2010-06-17 del w C:\Documents and Settings\ed\Application: 35. 2009-02-23 21:56: 03      --------      d-----usuarios del w C:\Documents and Settings\All \ 20:47 de los datos \ de Google Updater
2010-06-10 de uso: 58. 2008-09-12 13:09: 28      --------      d-----usuarios del w C:\Documents and Settings\All \ 12:29 de los datos \ de Microsoft Help
2010-06-01 de uso: 28. 2008-11-12 14:56: 58 1682      --usuarios de sha-w- C:\Documents and Settings\All \ 12:29 de los datos de uso \ KGyGaAvL.sys
2010-06-01: 28. 2008-11-12 14:56: 58 1682      --usuarios de sha-w- C:\Documents and Settings\All \ 14:39 de los datos de uso \ KGyGaAvL.sys
2010-05-26: 08. 2010-06-16 20:19: 38 6144      ------14:39 del
2010-05-26 del w C:\WINDOWS\system32\5.tmp: 08. 2010-06-16 20:19: 27 6144      ------14:39 del
2010-05-26 del w C:\WINDOWS\system32\4.tmp: 08. 2010-06-16 20:19: 15 6144      ------13:23 del
2010-05-24 del w C:\WINDOWS\system32\3.tmp: 06. 2009-02-23 21:56: 01      --------      d-----12:27 del
2010-05-10 del w C:\Program Files\Google: 32. 2008-09-25 18:42: 19      --------      d-----18:17 de los archivos \ de Adobe
2010-03-24 del w C:\Program Files\Common: 47. 2010-03-24 08:04: 49 952768      ----usuarios del a-w- C:\Documents and Settings\All \ datos de uso \ Adobe \ lector \ 9.2 \ 18:17 de la actualización \ AdobeARM.exe
2010-03-24 del BRAZO \ del ARM: 47. 2010-03-24 08:04: 49 70584      ----usuarios del a-w- C:\Documents and Settings\All \ datos de uso \ Adobe \ lector \ 9.2 \ 18:17 de la actualización \ AdobeExtractFiles.dll
2010-03-24 del BRAZO \ del ARM: 47. 2010-03-24 08:04: 49 326056      ----usuarios del a-w- C:\Documents and Settings\All \ datos de uso \ Adobe \ lector \ 9.2 \ 18:17 de la actualización \ ReaderUpdater.exe
2010-03-24 del BRAZO \ del ARM: 47. 2010-03-24 08:04: 49 326056      ----usuarios del a-w- C:\Documents and Settings\All \ datos de uso \ Adobe \ lector \ 9.2 \ actualización \ AcrobatUpdater.exe
.

del BRAZO \ del ARM (((((((((((((((((((((((((( (((((((((( (lugares de cargamento del registro))))))))))))))))))))))))))))))))))))))))))))))))))el
.
.
*Note* vacia entradas y las entradas del defecto del legit no se demuestran el
" TSTimer " = " e del
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ funcionado] de C:\Program Files\Timeslips\TSTimer.ex " [el 22:28 2006-06-15: 34 2429992]
" SWG " = " Notifier \ GoogleToolbarNotifier.exe de C:\Program Files\Google\GoogleToolbar " [21:56 2009-02-23: 03 39408]
" IgfxTray " = " tem32 \ igfxtray.exe del

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ funcionado] de C:\WINDOWS\sys " [15:08 2007-11-26: 42 141848]
" HotKeysCmds " = " system32 \ hkcmd.exe de C:\WINDOWS\ " [15:08 2007-11-26: 24 166424]
" persistencia " = " system32 \ igfxpers.exe de C:\WINDOWS\ " [15:08 2007-11-26: 36 137752]
" pdf completo " = " C:\Program Files\PDF completo \ pdfsty.exe " [14:10 2008-04-07: 52 318488]
" SetRefresh " = " tRefresh.exe de C:\Program Files\Compaq\SetRefresh\Se " [19:01 2003-11-20: 08 525824]
" Recguard " = " nst \ Recguard.exe de C:\WINDOWS\Smi " [19:50 2006-05-12: 16 1138688]
" recordatorio " = " ator \ Remind_XP.exe de C:\WINDOWS\Cre " [21:44 2006-03-31: 26 761856]
" planificador " = " INST \ Scheduler.exe de C:\WINDOWS\SM " [17:53 2006-07-10: 08 872448] SE del
" Matrox PowerDesk " = " c:\Program Files\Matrox Graphics Inc \ SE de PowerDesk \ Matrox.PowerDesk SE.exe " [20:33 2008-06-11: 38 2630664]
" Act.Outlook.Service " = " archivos \ ACTO \ acto del Program de C:\ para Windows \ Act.Outlook.Service.exe " [16:08 2009-02-24: ¡48 28672] acto del
"! Precargador " = " C:\Program Files\ACT\Act para Windows \ ActSage.exe " [16:09 2009-02-24: 14 393216] caja rápida de la búsqueda del
" Google " = " caja \ GoogleQuickSearchBox.exe de la búsqueda de C:\Program Files\Google\Quick " [13:45 2009-05-27: 19 68592]
" AppleSyncNotifier " = " archivos del ogram de C:\Pr \ archivos comunes \ Apple \ ayuda \ compartimiento \ AppleSyncNotifier.exe del dispositivo móvil " [20:51 2009-08-13: 42 177440] tarea del
" QuickTime " = " de C:\Program Files\QuickTime\qttask.exe " [04:08 2009-11-11: 18 417792]
" iTunesHelper " = " archivos del de C:\Program \ iTunes \ iTunesHelper.exe " [23:07 2010-02-15: 02 141608]
" KMCONFIG " = " conductor \ StartAutorun.exe de C:\Program Files\iHome\Mouse " [06:22 2008-05-30: 32 212992]
" capa de abstracción del núcleo y de hardware " = " KHALMNPR.EXE " [18:46 2008-10-10: 26 69632] el
" STFWebFormApp " = " archivos del m de C:\Progra \ archivos comunes \ STF mantiene compartido \ WebFormApp.exe " [el 19:10 2010-04-08: 34 85128] lanzador de la velocidad del lector del
" Adobe " = " C:\Program Files\Adobe\Reader 9.0 \ lector \ Reader_sl.exe " [05:42 2010-04-04: 51 36272] BRAZO del
" Adobe " = " archivos \ Adobe \ BRAZO \ 1.0 \ AdobeARM.exe de C:\Program Files\Common " [18:17 2010-03-24: 52 952768] usuarios del

C:\Documents and Settings\All \ menú del comienzo \ programas \ detector 3.lnk - or de C:\Program Files\Olympus\DeviceDetect \ configuración Tool.lnk del
Directrec del arranque \ del
Device de DevDtct2.exe [2009-2-5 163840] - or de C:\Program Files\Olympus\DeviceDetect \
Logitech SetPoint.lnk de DirectrecConfig.exe [2009-2-5 167936] -
MultiMon Taskbar.lnk del tPoint.exe [2010-3-25 809488] de C:\Program Files\Logitech\SetPoint\Se -
Windows Search.lnk del xe [2008-9-15 294912] de C:\Program Files\MMTaskbar\MultiMon.e -
" HideLogonScripts " del

[HKEY_CURRENT_USER \ software \ microsoft \ ventanas \ currentversion \ policies \ system] de la búsqueda \ WindowsSearch.exe [2008-5-26 123904] de C:\Program Files\Windows = 0

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} “= “búsqueda de escritorio \ MSNLNamespaceMgr.dll de C:\Program Files\Windows” [02:41 2009-05-25: 34 304128] 20:41 del
2008-11-07 del

[HKEY_LOCAL_MACHINE \ el software \ microsoft \ NT del windows \ currentversion \ winlogon \ notifican \ LBTWlgn]: 22 72208      ----archivos \ \ \ \ system32 del
el " %windir% del

[HKLM \ ~ \ servicios \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List] del "" del
@= de Logishrd del a-w- c:\Program Files\Common \ de Bluetooth \ de LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup] \ sessmgr.exe " =
" C:\ \ \ \ Scheduler.exe " =
el " %windir% \ \ \ \ SMINST de WINDOWS \ de diagnóstico \ xpnetdiag.exe " =
" C:\ de la red \ archivos de programa \ \ de Microsoft Office \ \Office12 \ \ OUTLOOK.EXE
" 65533 " del =

[HKLM \ ~ \ servicios \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ lista]: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: Desktop

R1 Mtxparmx; Mtxparmx; WS \ system32 \ conductores \ mtxparmx.sys [9/12/2008 8:22 de C:\WINDO: 20
R2 KMWDSERVICE DE LA 5504]; Servicio de comunicación del teclado y del ratón; conductor \ KMWDSrv.exe [6/23/2008 10:28 de C:\Program Files\iHome\Mouse: 08
R2 LBeepKE del P.M. 208896]; LBeepKE; \ system32 \ drivers \ LBeepKE.sys [3/25/2010 11:33 de C:\WINDOWS: 37
R2 Matrox de la 10384] que centra servicio; Matrox que centra servicio; C:\Program Files\Matrox Graphics Inc \ PowerDesk \ servicios \ Matrox.PowerDesk. Services.exe [6/11/2008 4:29: 26
R2 Matrox.Pdesk.ServicesHost del P.M. 586760]; Matrox.Pdesk. ServicesHost; archivos \ Matrox Graphics Inc del rogram de C:\P \ SE de PowerDesk \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 4:33: 38
R2 MSSQL$ACT7 DEL P.M. 189448]; Servidor del SQL (ACT7); servidor \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 3:27 de C:\Program Files\Microsoft SQL: 04 pdfcDispatcher del
R2 de la 29262680]; Encargado del documento del pdf; C:\Program Files\PDF completo \ pdfsvc.exe [5/27/2008 5:19: 14
R3 MTXPAR DE LA 576024]; MTXPAR; ystem32 \ drivers \ MTXPARM.sys [9/12/2008 8:22 de C:\WINDOWS\s: ¡20 ACTO DEL
S2 DE LA 1485568]! Planificador; ¡ACTO! Planificador; C:\Program Files\ACT\Act para Windows \ Act.Scheduler.exe [2/24/2009 12:08: 50
S2 gupdate1c9960193c6b225 del P.M. 81920]; Servicio de la actualización de Google (gupdate1c9960193c6b225); C: \ Archivos de programa \ Google \ actualización \ GoogleUpdate.exe [2/23/2009 5:56: 27
S2 TSScheduleBackup del P.M. 133104]; TimeslipsBackup; WINDOWS \ system32 \ TSSchBkpService.exe [9/15/2008 12:47 de C:\: 43
.
Contents del P.M. 705024] de la actualización de software \ SoftwareUpdate.exe [del wareUpdate.job
- C:\Program Files\Apple del folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft de las “tareas programadas” 16:34 2008-07-30: 12. 2008-07-30 16:34: 12] Updater \ GoogleUpdaterService.exe [del software Updater.job
- C:\Program Files\Google\Common\Google del

2010-06-17 C:\WINDOWS\Tasks\Google 21:56 2009-02-23: 01. 2009-03-24 14:54: 17] Update.exe [del ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google del

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21:56 2009-02-23: 27. 2009-02-23 21:56: 24] Update.exe [del ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google del

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21:56 2009-02-23: 27. 2009-02-23 21:56: 24]
.
.
------- Exploración suplementaria -------página = hxxp del
.
uStart: ajustes de //my.yahoo.com/
uInternet, ProxyOverride = *.local
IE: búsqueda de la barra de herramientas del &AOL - usuarios de C:\Documents and Settings\All \ datos de uso \ AOL \ ieToolbar \ resources \ los en-E.E.U.U. \ local \ search.html
IE: E&xport a Microsoft Excel - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - los HUÉRFANOS QUITÓ - - - - el

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \ el

catchme 0.3.1398 W2K/XP/Vista - detector del ******** del del ********** del del ********** del del ********** del del ********** del del ************************** del lector \ de AdobeUpdateManager.exe



del malware del rootkit/de la cautela de Gmer, rel= " nofollow " del” _blank” del target= de " http://www.gmer.net” del href= del 15:00 de la exploración 2010-06-17 de http://www.gmer.net
Rootkit: 42
Windows 5.1.2600 Service Pack 3 NTFS

scanning ocultado procesa… archivos terminados/>scan ocultados ocultados/>scanning del successfully
hidden del


scanning de las entradas del autoempezado del

Stealth MBR rootkit/Mebroot/Sinowal del ******** del del ********** del del ********** del del ********** del del ********** del del ************************** de 0

de Gmer, rel= " nofollow " del” _blank” del target= de " http://www.gmer.net” del href= del http://www.gmer.net

device: successfully
user: MBR leyó los módulos del successfully
called: >>UNKNOWN de ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll [0x8983C78A] <<
kernel: MBR leyó los ganchos del rootkit del successfully
detected MBR:
\ conductor \ disco - > CLASSPNP.SYS @ 0xba0ecf28
\ conductor \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ conductor \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ dispositivo \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: ¡Realtek RTL8168C (P)/8111C (P) el NIC de Ethernet del gigabit de PCI-E - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy de MBR se ha encontrado en el sector 0x03A380D83 del código del
malicious del sector 0x03A380D80 @! ¡el archivo del
PE encontró en sector en 0x03A380D99! ¡infección del rootkit del
MBR detectada! Uso: “mbr.exe - f” al
" ImagePath " = " C:\Program Files\PDF del

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher] del ******** del del ********** del del ********** del del ********** del del ********** del del ************************** de fix.

completo \ pdfsvc.exe /startedbyscm: 66B66708-40E.
de/>2BE4D-pdfcService "--------------------- DLLs cargó bajo procesos corrientes ---------------------

- - - - - - - > el
c:\program files\common de “winlogon.exe” (716) archiva \ logishrd \ bluetooth \ los archivos \ logishrd \ bluetooth \ LBTServ.dll

- de LBTWlgn.dll
c:\program files\common - - - - - - > tiempo del
.
Completion del
C:\Program Files\Bonjour\mdnsNSP.dll de “lsass.exe” (772): 2010-06-17 15:02: 19:02 de 08
ComboFix-quarantined-files.txt 2010-06-17: 06

Pre-Run: free
Post-Run de 464.428.068.864 octetos: 464.632.573.952 partition del rdisk del disco del
timeout=2
default=multi del free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[cargador de los octetos de cargador] 0) 0) 0) (((
C:\CMDCONS\BOOTSECT.DAT (de 1) \ WINDOWS
[sistemas operativos] = " partition

- - extremo del rdisk del disco del
multi de /cmdcons de la consola de la recuperación de Microsoft Windows” 0) 0) 0) (((de /fastdetect del =optin (de 1) \ WINDOWS= " Microsoft Windows Xp” /noexecute del archivo - - 8C319282DDFBE1A4552469747AD1DA29
class= del

Respuesta : Quitando Rootkit.Agent en el registro de Windows Xp SP3 ComboFix atado

Ventajas del despliegue de red
------------------------------

    * Construir y desplegar los servicios del uso rápidamente y fácilmente
    * Funcionar con los servicios en el ambiente más seguro, más escalable, highly-available
    * Reutilizar los activos del software y prolongar su alcance
    * Manejar los usos sin esfuerzo
    * Crecer como las necesidades se desarrollan, leveraging activos de la base y habilidades
    * El despliegue de red del servidor de aplicaciones de WebSphere entrega la infraestructura segura, escalable, highly-available del uso que usted necesita para SOA.
    * Funciones realzadas de los serveices de la tela

¿Qué podemos hacer con el despliegue de red?
----------------------------------------

El tema principal con el deoplyment de la red es usos distribuidos. Mientras que el flujo de un uso sigue siendo igual, hay adiciones signigicant al tiempo de pasada de un uso.


1) Despliegue de red. Esta versión apoya el despliegue de una configuración de la célula con la ayuda del racimo y del failover de J2EE. Ahora también incluye los componentes del borde, conocidos previamente como servidor del borde. Esto proporciona un proxy server, la carga que balancea, y la encaminamiento contenido-basada.

2) El despliegue de red del servidor de aplicaciones de IBM WebSphere proporciona la funcionalidad administrativa para desplegar y para promover su código de uso a todos los nodos en su racimo del servidor de aplicaciones.

ERA EL ND proporciona la flexibilidad para separar sus usos a través de las células, de los nodos, y de los servidores de aplicaciones

ERA EL ND tiene en cuenta muchos nodos, con los servidores de aplicaciones múltiples en cada nodo y usos múltiples en cada servidor.

3) ayuda del agrupamiento y del failover

4) el web server enchufable-en ayudas cargó a gerencia de la carga de trabajo


¿Conceptos del despliegue de red?
---------------------------

El ánodo es el agrupar lógico del servidor de aplicaciones

-- cada nodo es manejado por un solo proceso nodeagent
-- los nodos del mutiple pueden existir en la sola máquina con el uso de perfiles

Un proceso del encargado del despliegue (dmgr) maneja los nodeagents
-- lleva a cabo la configuración respoitory para el dominio de gerencia entero, llamado una célula

-- dentro de una célula la consola administrativa funciona dentro del dmgr usar esta consola que usted puede manejar todos los nodos en una célula.

-- Todas las actualizaciones a los archivos de configuración deben pasar a través del encargado del despliegue.