Question : Enlevant Rootkit.Agent sur la notation de Windows Xp SP3 ComboFix jointe

J'ai une machine de XPP avec RootKit.Agent là-dessus ai détecté par MalwareBytes.  J'ai essayé un groupe de périodes de se débarasser avec de MWB mais d'aucun succès.  A couru ComboFix et voici la notation.  Elle a détecté des crochets de RootKit MBR mais je ne suis pas sûr comment la fixer.  Des pensées ? notation du

ComboFix :

ComboFix 10-06-17.01 - ed 06/17/2010 14h45 : 42.1.2 -
Running du professionnel 5.1.2600.3.1252.1.1033.18.3071.2680 [-4:00 de x86
Microsoft Windows XP de GMT] de :
.

de C:\New Folder\ComboFix.exe (((((((((((((((((((((((((( (((((((((( (((d'autres suppressions)))))))))))))))))))))))))))))))))))))))))))))))))

.
du m
D:\Autorun.inf du
.

C:\WINDOWS\system32\win.co (((((((((((((((((((((((((dossiers créés de 2010-05-17 à 2010-06-17)))))))))))))))))))))))))))))))18h06 du
.

2010-06-17 : 21. 2010-06-17 18h06 : 21 27140      ---18h03 du he.dat
2010-06-17 de C:\WINDOWS\system32\mlfcac de ha-w- : 54. 2010-06-17 18h30 : 40 664      ----16h24 du ps.dat
2010-06-17 d'aw C:\WINDOWS\system32\d3d9ca : 04. 2010-04-29 19h39 : 38 38224      ----s d'aw C:\WINDOWS\system32\driver \ 16h24 du mbamswissarmy.sys
2010-06-17 : 02. 2010-04-29 19h39 : 26 20952      ----s d'aw C:\WINDOWS\system32\driver \ 16h17 de mbam.sys
2010-06-17 : 24. 2010-06-17 16h17 : 24      --------      d-----16h14 de données \ TeamViewer
2010-06-17 de W C:\Documents and Settings\ed\Application : 35. 2010-06-17 16h14 : 35      --------      d-----arrangements de W C:\Documents and Settings\ed\Local \ 16h02 de données \ PCHealth
2010-06-17 d'application : 26. 2010-06-17 16h03 : 24      --------      d-----arrangements du l de W C:\Documents and Settings\LocalService\Loca \ 16h00 de données \ Temp
2010-06-17 d'application : 59. 2010-06-17 16h00 : 59      --------      d-----20h19 du epository
2010-06-16 de W C:\WINDOWS\system32\wbem\R : 09. 2010-06-16 20h19 : 09      --------      d-----19h51 du
2010-06-16 de W C:\Program Files\Sophos : 50. 2010-06-17 15h58 : 17      --------      d-----19h44 du _rpcs
2010-06-16 de W C:\Documents and Settings\HelpAssistant\ : 24. 2009-11-11 18h00 : 27      --------      d-----19h44 du ldCache
2010-06-16 de W C:\Documents and Settings\HelpAssistant\IET : 23. 2010-06-17 15h58 : 26      --------      d-s---19h38 du
2010-06-16 de W C:\Documents and Settings\HelpAssistant : 52. 2010-06-16 19h38 : 52      --------      d-----19h38 de données \ Malwarebytes
2010-06-16 de W C:\Documents and Settings\ed\Application : 43. 2010-06-16 19h38 : 43      --------      d-----utilisateurs de W C:\Documents and Settings\All \ 19h38 de données \ Malwarebytes
2010-06-16 d'application : 42. 2010-06-17 16h24 : 06      --------      d-----W C:\Program Files\Malwarebytes ' Anti-Malware

.
(((((((((((((((((((((((((( (((((((((( ((((rapport de Find3M))))))))))))))))))))))))))))))))))))))))))))))))))))17h55 du
.
2010-06-17 : 20. 2009-10-19 16h37 : 42      --------      d-----16h02 de données \ Apple Computer
2010-06-17 de W C:\Documents and Settings\ed\Application : 35. 2009-02-23 21h56 : 03      --------      d-----utilisateurs de W C:\Documents and Settings\All \ 20h47 de données \ Google Updater
2010-06-10 d'application : 58. 2008-09-12 13h09 : 28      --------      d-----utilisateurs de W C:\Documents and Settings\All \ 12h29 de données \ Microsoft Help
2010-06-01 d'application : 28. 2008-11-12 14h56 : 58 1682      --utilisateurs de sha-w- C:\Documents and Settings\All \ 12h29 données d'application \ KGyGaAvL.sys
2010-06-01 : 28. 2008-11-12 14h56 : 58 1682      --utilisateurs de sha-w- C:\Documents and Settings\All \ 14h39 données d'application \ KGyGaAvL.sys
2010-05-26 : 08. 2010-06-16 20h19 : 38 6144      ------14h39 du
2010-05-26 de W C:\WINDOWS\system32\5.tmp : 08. 2010-06-16 20h19 : 27 6144      ------14h39 du
2010-05-26 de W C:\WINDOWS\system32\4.tmp : 08. 2010-06-16 20h19 : 15 6144      ------13h23 du
2010-05-24 de W C:\WINDOWS\system32\3.tmp : 06. 2009-02-23 21h56 : 01      --------      d-----12h27 du
2010-05-10 de W C:\Program Files\Google : 32. 2008-09-25 18h42 : 19      --------      d-----18h17 de dossiers \ Adobe
2010-03-24 de W C:\Program Files\Common : 47. 2010-03-24 8h04 : 49 952768      ----utilisateurs d'aw C:\Documents and Settings\All \ données d'application \ Adobe \ lecteur \ 9.2 \ 18h17 mise à jour de BRAS \ ARM \ AdobeARM.exe
2010-03-24 : 47. 2010-03-24 8h04 : 49 70584      ----utilisateurs d'aw C:\Documents and Settings\All \ données d'application \ Adobe \ lecteur \ 9.2 \ 18h17 mise à jour de BRAS \ ARM \ AdobeExtractFiles.dll
2010-03-24 : 47. 2010-03-24 8h04 : 49 326056      ----utilisateurs d'aw C:\Documents and Settings\All \ données d'application \ Adobe \ lecteur \ 9.2 \ 18h17 mise à jour de BRAS \ ARM \ ReaderUpdater.exe
2010-03-24 : 47. 2010-03-24 8h04 : 49 326056      ----utilisateurs d'aw C:\Documents and Settings\All \ données d'application \ Adobe \ lecteur \ 9.2 \ mise à jour de BRAS \ ARM \ AcrobatUpdater.exe
.

(((((((((((((((((((((((((( (((((((((( (positions de lecture ou d'écriture premières de lecture de repérage))))))))))))))))))))))))))))))))))))))))))))))))))le
.
.
*Note* vident des entrées et des entrées de défaut de pièce de théâtre ne sont pas montrées le
" TSTimer " = " e du
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ couru] de C:\Program Files\Timeslips\TSTimer.ex " [22h28 2006-06-15 : 34 2429992]
" GTS " = " Notifier \ GoogleToolbarNotifier.exe " [21h56 2009-02-23 : 03 39408]
" IgfxTray " = " tem32 \ igfxtray.exe " du

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ couru] [15h08 2007-11-26 : 42 141848]
" HotKeysCmds " = " system32 \ hkcmd.exe " [15h08 2007-11-26 : 24 166424]
" persistance " = " system32 \ igfxpers.exe " [15h08 2007-11-26 : 36 137752]
" pdf complet " = " C:\Program Files\PDF complet \ pdfsty.exe " [14h10 2008-04-07 : 52 318488]
" SetRefresh " = " tRefresh.exe de C:\Program Files\Compaq\SetRefresh\Se " [19h01 2003-11-20 : 08 525824]
" Recguard " = " nst \ Recguard.exe " [19h50 2006-05-12 : 16 1138688]
" rappel " = " ator \ Remind_XP.exe " [21h44 2006-03-31 : 26 761856]
" programmateur " = " INST \ Scheduler.exe " [17h53 2006-07-10 : 08 872448] Se du
" Matrox PowerDesk " = " c:\Program Files\Matrox Graphics Inc \ Se de PowerDesk \ Matrox.PowerDesk SE.exe " [20h33 2008-06-11 : 38 2630664]
" Act.Outlook.Service " = " dossiers du Program de C:\ \ ACTE \ Loi pour Windows \ Act.Outlook.Service.exe " [16h08 2009-02-24 : 48 28672] acte du
" ! Dispositif de précharge " = " C:\Program Files\ACT\Act pour Windows \ ActSage.exe " [16h09 2009-02-24 : 14 393216] boîte rapide de recherche du
" Google " = " boîte de recherche de C:\Program Files\Google\Quick \ GoogleQuickSearchBox.exe " [13h45 2009-05-27 : 19 68592]
" AppleSyncNotifier " = " dossiers du ogram de C:\Pr \ dossiers communs \ Apple \ appui \ casier \ AppleSyncNotifier.exe dispositif mobile " [20h51 2009-08-13 : 42 177440] tâche du
" QuickTime " = " de C:\Program Files\QuickTime\qttask.exe " [4h08 2009-11-11 : 18 417792]
" iTunesHelper " = " dossiers du de C:\Program \ iTunes \ iTunesHelper.exe " [23h07 2010-02-15 : 02 141608]
" KMCONFIG " = " conducteur de C:\Program Files\iHome\Mouse \ StartAutorun.exe " [6h22 2008-05-30 : 32 212992]
" couche d'abstraction de grain et de matériel " = " KHALMNPR.EXE " [18h46 2008-10-10 : 26 69632] le
" STFWebFormApp " = " dossiers du m de C:\Progra \ dossiers communs \ STF entretient partagé \ WebFormApp.exe " [19h10 2010-04-08 : 34 85128] lanceur de vitesse de lecteur du
" Adobe " = " C:\Program Files\Adobe\Reader 9.0 \ lecteur \ Reader_sl.exe " [5h42 2010-04-04 : 51 36272] BRAS du
" Adobe " = " dossiers de C:\Program Files\Common \ Adobe \ BRAS \ 1.0 \ AdobeARM.exe " [18h17 2010-03-24 : 52 952768] utilisateurs du

C:\Documents and Settings\All \ menu de début \ programmes \ détecteur 3.lnk - or de C:\Program Files\Olympus\DeviceDetect \ configuration Tool.lnk
Directrec de démarrage \
Device de DevDtct2.exe [2009-2-5 163840] - or de C:\Program Files\Olympus\DeviceDetect \
Logitech SetPoint.lnk de DirectrecConfig.exe [2009-2-5 167936] -
MultiMon Taskbar.lnk du tPoint.exe [2010-3-25 809488] de C:\Program Files\Logitech\SetPoint\Se -
Windows Search.lnk du xe [2008-9-15 294912] de C:\Program Files\MMTaskbar\MultiMon.e -
" HideLogonScripts " du

[HKEY_CURRENT_USER \ software \ microsoft \ fenêtres \ currentversion \ policies \ system] de la recherche de C:\Program Files\Windows \ WindowsSearch.exe [2008-5-26 123904] = 0

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} « = « recherche de bureau de C:\Program Files\Windows \ MSNLNamespaceMgr.dll » [2h41 2009-05-25 : 34 304128] 20h41 du
2008-11-07 du

[HKEY_LOCAL_MACHINE \ software \ microsoft \ NT du windows \ currentversion \ winlogon \ annoncent \ LBTWlgn] : 22 72208      ----dossiers d'aw c:\Program Files\Common \ \ \ \ system32 \ sessmgr.exe " =
" C:\ du
" %windir% du

[HKLM \ ~ \ services \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List] de ""
@= de Logishrd \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup] \ \ \ de WINDOWS \ SMINST \ Scheduler.exe " =
" %windir% \ \ \ diagnostique de réseau \ xpnetdiag.exe " =
" C:\ \ dossiers de programme \ \ \ de Microsoft Office \Office12 \ \ OUTLOOK.EXE "
" 65533 du =

[HKLM \ ~ \ services \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ liste] : TCP " = 65533 : TCP : Services
" 52344 : TCP " = 52344 : TCP : Services
" 7068 : TCP " = 7068 : TCP : Services
" 4284 : TCP " = 4284 : TCP : Services
" 3389 : TCP " = 3389 : TCP : Desktop

R1 Mtxparmx ; Mtxparmx ; WS \ system32 \ conducteurs \ mtxparmx.sys [9/12/2008 8h22 :
R2 KMWDSERVICE de 20h du matin 5504] ; Service de communication de clavier et de souris ; conducteur de C:\Program Files\iHome\Mouse \ KMWDSrv.exe [6/23/2008 10h28 :
R2 LBeepKE du 20h 208896] ; LBeepKE ; \ system32 \ drivers \ LBeepKE.sys [3/25/2010 11h33 : 37
R2 Matrox d'AM 10384] centrant le service ; Matrox centrant le service ; C:\Program Files\Matrox Graphics Inc \ PowerDesk \ services \ Matrox.PowerDesk. Services.exe [6/11/2008 4h29 : 26
R2 Matrox.Pdesk.ServicesHost de P.M. 586760] ; Matrox.Pdesk. ServicesHost ; dossiers du rogram de C:\P \ Matrox Graphics Inc \ Se de PowerDesk \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 4h33 : 38
R2 MSSQL$ACT7 DE P.M. 189448] ; Serveur de SQL (ACT7) ; serveur de C:\Program Files\Microsoft SQL \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 3h27 : pdfcDispatcher du
R2 du 4h du matin 29262680] ; Directeur de document de pdf ; C:\Program Files\PDF complet \ pdfsvc.exe [5/27/2008 5h19 :
R3 MTXPAR du 14h du matin 576024] ; MTXPAR ; ystem32 \ drivers \ MTXPARM.sys [9/12/2008 8h22 : ACTE du
S2 du 20h du matin 1485568] ! Programmateur ; ACTE ! Programmateur ; C:\Program Files\ACT\Act pour Windows \ Act.Scheduler.exe [2/24/2009 12h08 : 50
S2 gupdate1c9960193c6b225 de P.M. 81920] ; Service de mise à jour de Google (gupdate1c9960193c6b225) ; C : \ Dossiers de programme \ Google \ mise à jour \ GoogleUpdate.exe [2/23/2009 5h56 : 27
S2 TSScheduleBackup de P.M. 133104] ; TimeslipsBackup ; WINDOWS \ system32 \ TSSchBkpService.exe [9/15/2008 12h47 : 43
.
Contents de P.M. 705024] de l'actualisation de logiciel du wareUpdate.job
- C:\Program Files\Apple du folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft « de tâches programmées » \ SoftwareUpdate.exe [16h34 2008-07-30 : 12. 2008-07-30 16h34 : 12] Updater \ GoogleUpdaterService.exe [du logiciel Updater.job
- C:\Program Files\Google\Common\Google du

2010-06-17 C:\WINDOWS\Tasks\Google 21h56 2009-02-23 : 01. 2009-03-24 14h54 : 17] Update.exe [du ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google du

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21h56 2009-02-23 : 27. 2009-02-23 21h56 : 24] Update.exe [du ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google du

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21h56 2009-02-23 : 27. 2009-02-23 21h56 : 24]
.
.
------- Balayage supplémentaire -------page = hxxp du
.
uStart : arrangements de //my.yahoo.com/
uInternet, ProxyOverride = *.local
IE : recherche de barre porte-outils de &AOL - utilisateurs de C:\Documents and Settings\All \ données d'application \ AOL \ ieToolbar \ resources \ en-USA \ local \ search.html
IE : E&xport à Microsoft Excel - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF : {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps : //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - des ORPHELINS A ENLEVÉ - - - - le

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \ le

catchme 0.3.1398 W2K/XP/Vista - détecteur de ******** du de ********** du de ********** du de ********** du de ********** du ************************** de lecteur \ AdobeUpdateManager.exe



de malware de rootkit/discrétion par Gmer, rel= " nofollow " de » _blank » de target= de " http://www.gmer.net » de href= de 15h00 du balayage 2010-06-17 de http://www.gmer.net
Rootkit : 42
Windows 5.1.2600 Service Pack 3 NTFS

scanning caché traite… les dossiers cachés du successfully
scan/>hidden du
scanning/>

scanning d'entrées de démarrage automatique du

Stealth MBR rootkit/Mebroot/Sinowal de ******** du de ********** du de ********** du de ********** du de ********** du de ************************** de 0

par Gmer, rel= " nofollow " de » _blank » de target= de " http://www.gmer.net » de href= de http://www.gmer.net

device : successfully
user : MBR a lu des modules du successfully
called : >>UNKNOWN de ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll [0x8983C78A] <<
kernel : MBR a lu des crochets de rootkit du successfully
detected MBR :
\ conducteur \ disque - > CLASSPNP.SYS @ 0xba0ecf28
\ conducteur \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ conducteur \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ dispositif \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS : Realtek RTL8168C (P)/8111C (P) le NIC d'Ethernet de gigabit de PCI-E - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy de MBR a été trouvé dans le secteur 0x03A380D83 de code du
malicious du secteur 0x03A380D80 @ ! le dossier du
PE a trouvé dans le secteur à 0x03A380D99 ! infection de rootkit du
MBR détectée ! Utilisation : « mbr.exe - f » au
" ImagePath " = " C:\Program Files\PDF du

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher] de ******** du de ********** du de ********** du de ********** du de ********** du de ************************** de fix.

complet \ pdfsvc.exe /startedbyscm : 66B66708-40E.
de/>2BE4D-pdfcService "--------------------- DLLs a chargé sous des processus courants ---------------------

- - - - - - - > le
c:\program files\common de « winlogon.exe » (716) classe \ logishrd \ bluetooth \ dossiers de LBTWlgn.dll
c:\program files\common \ logishrd \ bluetooth \ LBTServ.dll

- - - - - - - > temps du
.
Completion du
C:\Program Files\Bonjour\mdnsNSP.dll de « lsass.exe » (772) : 2010-06-17 15h02 : 19h02 de 08
ComboFix-quarantined-files.txt 2010-06-17 : 06

Pre-Run : free
Post-Run de 464.428.068.864 bytes : 464.632.573.952 partition du rdisk de disque du
timeout=2
default=multi du free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[chargeur de bytes de botte] 0) 0) 0) ((((
C:\CMDCONS\BOOTSECT.DAT de 1) \ WINDOWS
[logiciels d'exploitation] = partition

- de rdisk de disque de
multi de /cmdcons " de console de rétablissement de Microsoft Windows » 0) 0) 0) (((de /fastdetect de =optin (de 1) \ WINDOWS= " Microsoft Windows Xp » /noexecute - de fin de fichier - - 8C319282DDFBE1A4552469747AD1DA29
 class= de

Réponse : Enlevant Rootkit.Agent sur la notation de Windows Xp SP3 ComboFix jointe


Avantages de déploiement de réseau
------------------------------

    * Établir et déployer les services d'application rapidement et facilement
    * Diriger les services dans l'environnement le plus bloqué, le plus extensible, highly-available
    * Réutiliser les capitaux de logiciel et prolonger leur portée
    * Contrôler les applications sans effort
    * Se développer comme les besoins évoluent, accroissant des capitaux de noyau et des qualifications
    * Le déploiement de réseau de serveur d'application de WebSphere fournit l'infrastructure bloquée, extensible, highly-available d'application que vous avez besoin pour SOA.
    * Fonctions augmentées de serveices de Web

Que pouvons-nous faire avec le déploiement de réseau ?
----------------------------------------

Le thème principal avec le deoplyment de réseau est des applications réparties. Tandis que l'écoulement d'une application demeurent le même, il y a les additions signigicant au temps d'exécution d'une application.


1) Déploiement de réseau. Cette version soutient le déploiement d'une configuration de cellules avec l'appui de faisceau et de failover de J2EE. Elle inclut maintenant également des composants de bord, précédemment connus sous le nom de serveur de bord. Ceci fournit un proxy server, un équilibrage de la charge, et un cheminement contenu-basé.

2) Le déploiement de réseau de serveur d'application d'IBM WebSphere fournit la fonctionnalité administrative pour déployer et favoriser votre code d'application à tous les noeuds dans votre faisceau de serveur d'application.

ÉTAIT LE ND fournit la flexibilité pour écarter vos applications à travers des cellules, des noeuds, et des serveurs d'application

ÉTAIT LE ND tient compte de beaucoup de noeuds, avec des serveurs d'application multiple sur chaque noeud et applications multiples dans chaque serveur.

3) appui de groupement et de failover

4) le web server embrochable-dans des appuis a pesé la gestion de charge de travail


Concepts de déploiement de réseau ?
---------------------------

L'anode est un groupement logique du serveur d'application

-- chaque noeud est contrôlé par un processus nodeagent simple
-- les noeuds de mutiple peuvent exister sur la machine simple par l'utilisation des profils

Un processus de directeur de déploiement (dmgr) contrôle les nodeagents
-- juge la configuration respoitory pour le domaine de gestion entier, appelé une cellule

-- dans une cellule la console administrative fonctionne à l'intérieur du dmgr using cette console que vous pouvez contrôler tous les noeuds dans une cellule.

-- Toutes les mises à jour aux fichiers de configuration devraient passer par le directeur de déploiement.
Autres solutions  
  •  MS Excel 2007 et pdf - l'exportation vers le pdf prend de longues heures !
    •
  •  Dans le Perl, comment j'ajoute une valeur à la liste, puis le contrôle pour voir si la valeur existent avant d'ajouter une nouvelle valeur
    •
  •  Comment fais j'initialiser de la HP BL460c G6 de san et de la HP XP 240000
    •
  •  Comment fais j'employer une clef de permis de volume sur un ordinateur de HP avec du CD de restauration
    •
  •  Emplacement primaire de deux SCCM dans l'annuaire actif
    •
  •  L'initiateur et la HP D2D de l'iSCSI R2 du serveur 2008 de Windows GERCENT l'issue
    •
  •  Stocker le dossier dans le mysql using connector.net et le champ de goutte
    •
  •  Carte vidéo d'USB - bit 32 sur le matériel travaillant au niveau du bit 64 ?
    •
  •  asp.net que j'essaye de convertir une forme de HTML en forme d'aspx ou ? ce qui jamais. Aide du besoin sur la façon dont à à elle.
    •
  •  Winzip 12 issues de secours du travail ?
    •
     
    programming4us programming4us