Questione : Rimuovendo Rootkit.Agent sul ceppo del Windows Xp SP3 ComboFix allegato

Ho una macchina di XPP con RootKit.Agent su esso ho rilevato da MalwareBytes.  Ho provato un mazzo di periodi liberarmi di con MWB ma nessun successo.  Ha fatto funzionare ComboFix e qui è il ceppo.  Ha rilevato i ganci di RootKit MBR ma non sono sicuro come ripararlo.  Dei pensieri? ceppo del

ComboFix:

ComboFix 10-06-17.01 - 14:45 di ed 06/17/2010: 42.1.2 -
Running del professionista 5.1.2600.3.1252.1.1033.18.3071.2680 [-4:00 di x86
Microsoft Windows XP del GMT] da:
.

di C:\New Folder\ComboFix.exe (((((((((((((((((((((((((( (((((((((( (((altre omissioni)))))))))))))))))))))))))))))))))))))))))))))))))

.
del m
D:\Autorun.inf del
.

C:\WINDOWS\system32\win.co (((((((((((((((((((((((((lime generate 2010-05-17 - 2010-06-17)))))))))))))))))))))))))))))))18:06 del
.

2010-06-17: 21. 2010-06-17 18:06: 21 27140      ---18:03 del he.dat
2010-06-17 di C:\WINDOWS\system32\mlfcac del ha-w-: 54. 2010-06-17 18:30: 40 664      ----16:24 del ps.dat
2010-06-17 dell'aw C:\WINDOWS\system32\d3d9ca: 04. 2010-04-29 19:39: 38 38224      ----s dell'aw C:\WINDOWS\system32\driver \ 16:24 del mbamswissarmy.sys
2010-06-17: 02. 2010-04-29 19:39: 26 20952      ----s dell'aw C:\WINDOWS\system32\driver \ 16:17 di mbam.sys
2010-06-17: 24. 2010-06-17 16:17: 24      --------      d-----16:14 di dati \ TeamViewer
2010-06-17 di w C:\Documents and Settings\ed\Application: 35. 2010-06-17 16:14: 35      --------      d-----regolazioni di w C:\Documents and Settings\ed\Local \ 16:02 di dati \ PCHealth
2010-06-17 di applicazione: 26. 2010-06-17 16:03: 24      --------      d-----regolazioni del l di w C:\Documents and Settings\LocalService\Loca \ 16:00 di dati \ Temp
2010-06-17 di applicazione: 59. 2010-06-17 16:00: 59      --------      d-----20:19 del epository
2010-06-16 di w C:\WINDOWS\system32\wbem\R: 09. 2010-06-16 20:19: 09      --------      d-----19:51 del
2010-06-16 di w C:\Program Files\Sophos: 50. 2010-06-17 15:58: 17      --------      d-----19:44 del _rpcs
2010-06-16 di w C:\Documents and Settings\HelpAssistant\: 24. 2009-11-11 18:00: 27      --------      d-----19:44 del ldCache
2010-06-16 di w C:\Documents and Settings\HelpAssistant\IET: 23. 2010-06-17 15:58: 26      --------      d-s---19:38 del
2010-06-16 di w C:\Documents and Settings\HelpAssistant: 52. 2010-06-16 19:38: 52      --------      d-----19:38 di dati \ Malwarebytes
2010-06-16 di w C:\Documents and Settings\ed\Application: 43. 2010-06-16 19:38: 43      --------      d-----utenti di w C:\Documents and Settings\All \ 19:38 di dati \ Malwarebytes
2010-06-16 di applicazione: 42. 2010-06-17 16:24: 06      --------      d-----w C:\Program Files\Malwarebytes ' Anti-Malware

.
(((((((((((((((((((((((((( (((((((((( ((((rapporto di Find3M))))))))))))))))))))))))))))))))))))))))))))))))))))17:55 del
.
2010-06-17: 20. 2009-10-19 16:37: 42      --------      d-----16:02 di dati \ Apple Computer
2010-06-17 di w C:\Documents and Settings\ed\Application: 35. 2009-02-23 21:56: 03      --------      d-----utenti di w C:\Documents and Settings\All \ 20:47 di dati \ Google Updater
2010-06-10 di applicazione: 58. 2008-09-12 13:09: 28      --------      d-----utenti di w C:\Documents and Settings\All \ 12:29 di dati \ Microsoft Help
2010-06-01 di applicazione: 28. 2008-11-12 14:56: 58 1682      --utenti dello sha-w- C:\Documents and Settings\All \ 12:29 dati di applicazione \ KGyGaAvL.sys
2010-06-01: 28. 2008-11-12 14:56: 58 1682      --utenti dello sha-w- C:\Documents and Settings\All \ 14:39 dati di applicazione \ KGyGaAvL.sys
2010-05-26: 08. 2010-06-16 20:19: 38 6144      ------14:39 del
2010-05-26 di w C:\WINDOWS\system32\5.tmp: 08. 2010-06-16 20:19: 27 6144      ------14:39 del
2010-05-26 di w C:\WINDOWS\system32\4.tmp: 08. 2010-06-16 20:19: 15 6144      ------13:23 del
2010-05-24 di w C:\WINDOWS\system32\3.tmp: 06. 2009-02-23 21:56: 01      --------      d-----12:27 del
2010-05-10 di w C:\Program Files\Google: 32. 2008-09-25 18:42: 19      --------      d-----18:17 delle lime \ Adobe
2010-03-24 di w C:\Program Files\Common: 47. 2010-03-24 08:04: 49 952768      ----utenti dell'aw C:\Documents and Settings\All \ dati di applicazione \ Adobe \ lettore \ 9.2 \ 18:17 aggiornamento \ AdobeARM.exe
2010-03-24 ARM: 47. 2010-03-24 08:04: 49 70584      ----utenti dell'aw C:\Documents and Settings\All \ dati di applicazione \ Adobe \ lettore \ 9.2 \ 18:17 aggiornamento \ AdobeExtractFiles.dll
2010-03-24 ARM: 47. 2010-03-24 08:04: 49 326056      ----utenti dell'aw C:\Documents and Settings\All \ dati di applicazione \ Adobe \ lettore \ 9.2 \ 18:17 aggiornamento \ ReaderUpdater.exe
2010-03-24 ARM: 47. 2010-03-24 08:04: 49 326056      ----utenti dell'aw C:\Documents and Settings\All \ dati di applicazione \ Adobe \ lettore \ 9.2 \ aggiornamento \ AcrobatUpdater.exe
.

ARM (((((((((((((((((((((((((( (((((((((( (punti di carico del registro))))))))))))))))))))))))))))))))))))))))))))))))))il
.
.
*Note* svuota le entrate & le entrate di difetto di legit non sono indicate il
" TSTimer " = " il e del
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ funzionato] di C:\Program Files\Timeslips\TSTimer.ex " [22:28 2006-06-15: 34 2429992]
" swg " = " Notifier \ GoogleToolbarNotifier.exe di C:\Program Files\Google\GoogleToolbar " [21:56 2009-02-23: 03 39408]
" IgfxTray " = " tem32 \ igfxtray.exe del

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ funzionato] di C:\WINDOWS\sys " [15:08 2007-11-26: 42 141848]
" HotKeysCmds " = " system32 \ hkcmd.exe di C:\WINDOWS\ " [15:08 2007-11-26: 24 166424]
" persistenza " = " system32 \ igfxpers.exe di C:\WINDOWS\ " [15:08 2007-11-26: 36 137752]
" pdf completo " = " C:\Program Files\PDF completo \ pdfsty.exe " [14:10 2008-04-07: 52 318488]
" SetRefresh " = " tRefresh.exe di C:\Program Files\Compaq\SetRefresh\Se " [19:01 2003-11-20: 08 525824]
" Recguard " = " nst \ Recguard.exe di C:\WINDOWS\Smi " [19:50 2006-05-12: 16 1138688]
" ricordo " = " ator \ Remind_XP.exe di C:\WINDOWS\Cre " [21:44 2006-03-31: 26 761856]
" programmatore " = " INST \ Scheduler.exe di C:\WINDOWS\SM " [17:53 2006-07-10: 08 872448] Se del
" Matrox PowerDesk " = " Se dei grafici inc \ PowerDesk di c:\Program Files\Matrox \ Matrox.PowerDesk SE.exe " [20:33 2008-06-11: 38 2630664]
" Act.Outlook.Service " = " lime \ ATTO \ Legge del Program di C:\ per Windows \ Act.Outlook.Service.exe " [16:08 2009-02-24: 48 28672] Legge del
"! Preloader " = " C:\Program Files\ACT\Act per Windows \ ActSage.exe " [16:09 2009-02-24: 14 393216] scatola rapida di ricerca del
" Google " = " scatola \ GoogleQuickSearchBox.exe di ricerca di C:\Program Files\Google\Quick " [13:45 2009-05-27: 19 68592]
" AppleSyncNotifier " = " lime del ogram di C:\Pr \ lime comuni \ Apple \ supporto \ scomparto \ AppleSyncNotifier.exe dispositivo mobile " [20:51 2009-08-13: 42 177440] operazione del
" QuickTime " = " di C:\Program Files\QuickTime\qttask.exe " [04:08 2009-11-11: 18 417792]
" iTunesHelper " = " lime del di C:\Program \ iTunes \ iTunesHelper.exe " [23:07 2010-02-15: 02 141608]
" KMCONFIG " = " driver \ StartAutorun.exe di C:\Program Files\iHome\Mouse " [06:22 2008-05-30: 32 212992]
" strato di astrazione di fissaggi e del nocciolo " = " KHALMNPR.EXE " [18:46 2008-10-10: 26 69632] il
" STFWebFormApp " = " lime del m di C:\Progra \ lime comuni \ STF assiste compartecipe \ WebFormApp.exe " [19:10 2010-04-08: 34 85128] lanciagranate di velocità del lettore del
" Adobe " = " C:\Program Files\Adobe\Reader 9.0 \ lettore \ Reader_sl.exe " [05:42 2010-04-04: 51 36272] BRACCIO del
" Adobe " = " lime \ Adobe \ BRACCIO \ 1.0 \ AdobeARM.exe di C:\Program Files\Common " [18:17 2010-03-24: 52 952768] utenti del

C:\Documents and Settings\All \ menu di inizio \ programmi \ rivelatore 3.lnk - or di C:\Program Files\Olympus\DeviceDetect \ configurazione Tool.lnk
Directrec
Device di DevDtct2.exe [2009-2-5 163840] - or di C:\Program Files\Olympus\DeviceDetect \
Logitech SetPoint.lnk di DirectrecConfig.exe [2009-2-5 167936] -
MultiMon Taskbar.lnk del tPoint.exe [2010-3-25 809488] di C:\Program Files\Logitech\SetPoint\Se -
Windows Search.lnk del xe [2008-9-15 294912] di C:\Program Files\MMTaskbar\MultiMon.e -
" HideLogonScripts " del

[HKEY_CURRENT_USER \ software \ microsoft \ finestre \ currentversion \ policies \ system] di ricerca \ WindowsSearch.exe [2008-5-26 123904] di C:\Program Files\Windows = 0

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} “= “ricerca da tavolino \ MSNLNamespaceMgr.dll di C:\Program Files\Windows„ [02:41 2009-05-25: 34 304128] 20:41 del
2008-11-07 del

[HKEY_LOCAL_MACHINE \ software \ microsoft \ NT del windows \ currentversion \ winlogon \ informano \ LBTWlgn]: 22 72208      ----lime \ \ \ \ system32 \ sessmgr.exe " =
" C:\ del
" %windir% del

[HKLM \ ~ \ servizi \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List] del ""
@= di Logishrd dell'aw c:\Program Files\Common \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup] \ \ \ Scheduler.exe " =
" %windir% \ \ \ \ SMINST di WINDOWS \ diagnostico \ xpnetdiag.exe " =
" C:\ della rete \ lime di programma \ \ di Microsoft Office \ \Office12 \ \ OUTLOOK.EXE "
" 65533 del =

[HKLM \ ~ \ servizi \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ lista]: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: Desktop

R1 Mtxparmx; Mtxparmx; WS \ system32 \ driver \ mtxparmx.sys [9/12/2008 di 8:22 di C:\WINDO: 20
R2 KMWDSERVICE DI 5504]; Servizio di comunicazione del mouse e della tastiera; driver \ KMWDSrv.exe [6/23/2008 di 10:28 di C:\Program Files\iHome\Mouse: 08
R2 LBeepKE di PM 208896]; LBeepKE; \ system32 \ drivers \ LBeepKE.sys [3/25/2010 di 11:33 di C:\WINDOWS: 37
R2 Matrox di 10384] che si concentra servizio; Matrox che si concentra servizio; grafici inc \ PowerDesk \ servizi \ Matrox.PowerDesk di C:\Program Files\Matrox. Services.exe [6/11/2008 di 4:29: 26
R2 Matrox.Pdesk.ServicesHost di PM 586760]; Matrox.Pdesk. ServicesHost; lime del rogram di C:\P \ Se dei grafici inc \ PowerDesk di Matrox \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 di 4:33: 38
R2 MSSQL$ACT7 DI PM 189448]; Assistente di SQL (ACT7); assistente \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 di 3:27 di C:\Program Files\Microsoft SQL: 04 pdfcDispatcher del
R2 di 29262680]; Responsabile del documento del pdf; C:\Program Files\PDF completo \ pdfsvc.exe [5/27/2008 di 5:19: 14
R3 MTXPAR DI 576024]; MTXPAR; ystem32 \ drivers \ MTXPARM.sys [9/12/2008 di 8:22 di C:\WINDOWS\s: 20 ATTO DEL
S2 DI 1485568]! Programmatore; ATTO! Programmatore; C:\Program Files\ACT\Act per Windows \ Act.Scheduler.exe [2/24/2009 di 12:08: 50
S2 gupdate1c9960193c6b225 di PM 81920]; Servizio dell'aggiornamento di Google (gupdate1c9960193c6b225); C: \ Lime di programma \ Google \ aggiornamento \ GoogleUpdate.exe [2/23/2009 di 5:56: 27
S2 TSScheduleBackup di PM 133104]; TimeslipsBackup; WINDOWS \ system32 \ TSSchBkpService.exe [9/15/2008 di 12:47 di C:\: 43
.
Contents di PM 705024] “dell'aggiornamento di software \ SoftwareUpdate.exe [del wareUpdate.job
- C:\Program Files\Apple del folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft di mansioni prevedute„ 16:34 2008-07-30: 12. 2008-07-30 16:34: 12] Updater \ GoogleUpdaterService.exe [del software Updater.job
- C:\Program Files\Google\Common\Google del

2010-06-17 C:\WINDOWS\Tasks\Google 21:56 2009-02-23: 01. 2009-03-24 14:54: 17] Update.exe [del ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google del

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21:56 2009-02-23: 27. 2009-02-23 21:56: 24] Update.exe [del ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google del

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21:56 2009-02-23: 27. 2009-02-23 21:56: 24]
.
.
------- Esplorazione supplementare -------pagina = hxxp del
.
uStart: regolazioni di //my.yahoo.com/
uInternet, ProxyOverride = *.local
IE: ricerca dell'tavoletta porta-utensili del &AOL - utenti di C:\Documents and Settings\All \ dati di applicazione \ AOL \ ieToolbar \ resources \ en-STATI UNITI \ local \ search.html
IE: E&xport a Microsoft Excel - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - ORFANI HA RIMOSSO - - - -

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \

catchme 0.3.1398 W2K/XP/Vista - rivelatore del ******** del del ********** del del ********** del del ********** del del ********** del ************************** AdobeUpdateManager.exe



del malware azione furtiva/del rootkit da Gmer, rel= " nofollow "„ del _blank„„ del target= " di http://www.gmer.net del href= di 15:00 di esplorazione 2010-06-17 di http://www.gmer.net
Rootkit: 42
Windows 5.1.2600 Service Pack 3 NTFS

scanning nascosto proceda… le lime nascoste del successfully
scan/>hidden del
scanning/>

scanning delle entrate di autostart del

Stealth MBR rootkit/Mebroot/Sinowal del ******** del del ********** del del ********** del del ********** del del ********** del del ************************** di 0

da Gmer, rel= " nofollow "„ del _blank„„ del target= " di http://www.gmer.net del href= di http://www.gmer.net

device: successfully
user: MBR ha letto i moduli del successfully
called: >>UNKNOWN di ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll [0x8983C78A] <<
kernel: MBR ha letto i ganci del rootkit del successfully
detected MBR:
\ driver \ disc - > CLASSPNP.SYS @ 0xba0ecf28
\ driver \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ driver \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ dispositivo \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168C (P)/8111C (P) il NIC di Ethernet di gigabit di PCI-E - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy di MBR è stato trovato nel settore 0x03A380D83 di codice del
malicious del settore 0x03A380D80 @! la lima del
PE ha trovato nel settore a 0x03A380D99! infezione del rootkit del
MBR rilevata! Uso: “mbr.exe - f„ al
" ImagePath " = " C:\Program Files\PDF del

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher] del ******** del del ********** del del ********** del del ********** del del ********** del del ************************** di fix.

completo \ pdfsvc.exe /startedbyscm: 66B66708-40E.
di/>2BE4D-pdfcService "--------------------- DLLs ha caricato nell'ambito dei processi correnti ---------------------

- - - - - - - > il
c:\program files\common “di winlogon.exe„ (716) archiva \ logishrd \ bluetooth \ lime \ logishrd \ bluetooth \ LBTServ.dll

- di LBTWlgn.dll
c:\program files\common - - - - - - > tempo del
.
Completion del
C:\Program Files\Bonjour\mdnsNSP.dll “di lsass.exe„ (772): 2010-06-17 15:02: 19:02 di 08
ComboFix-quarantined-files.txt 2010-06-17: 06

Pre-Run: un free
Post-Run da 464.428.068.864 byte: 464.632.573.952 partition del rdisk del disc del
timeout=2
default=multi del free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[caricatore di byte di caricamento del sistema] 0) 0) 0) ((((
C:\CMDCONS\BOOTSECT.DAT di 1) \ WINDOWS
[sistemi operativi] = " partition (

- del rdisk del disc del
multi di /cmdcons della sezione comandi di recupero di Microsoft Windows„ 0) 0) 0) (((di /fastdetect di =optin di 1) \ WINDOWS= " Microsoft Windows Xp„ /noexecute - di fine archivio - - 8C319282DDFBE1A4552469747AD1DA29
class= del

Risposta : Rimuovendo Rootkit.Agent sul ceppo del Windows Xp SP3 ComboFix allegato

Benefici di schieramento di rete
------------------------------

    * Sviluppare rapidamente e facilmente e schierare i servizi di applicazione
    * Fare funzionare i servizi nell'ambiente più sicuro, più evolutivo, highly-available
    * Riutilizzare i beni del software ed estendere la loro portata
    * Dirigere che non richiede sforzo le applicazioni
    * Sviluppar come i bisogni si evolvono, leveraging i beni del centro e le abilità
    * Lo schieramento di rete del server applicativo di WebSphere trasporta l'infrastruttura che sicura, evolutiva, highly-available di applicazione avete bisogno di per SOA.
    * Funzioni aumentate di serveices di fotoricettore

Che cosa possiamo fare con schieramento di rete?
----------------------------------------

Il tema principale con il deoplyment della rete è le applicazioni distribuite. Mentre il flusso di un'applicazione rimane lo stesso, ci sono le aggiunte signigicant al tempo di esecuzione di un'applicazione.


1) Schieramento di rete. Questa versione sostiene lo schieramento di una configurazione delle cellule con il supporto di failover di J2EE e del mazzo. Ora inoltre comprende le componenti del bordo, precedentemente conosciute come l'assistente del bordo. Ciò fornisce un proxy server, il carico che equilibrano ed il percorso soddisfare-basato.

2) Lo schieramento di rete del server applicativo di IBM WebSphere fornisce la funzionalità amministrativa per schierare e promuovere il vostro codice di applicazione a tutti i nodi nel vostro mazzo del server applicativo.

ERA IL ND fornisce la flessibilità per la diffusione delle vostre applicazioni attraverso le cellule, i nodi ed i server applicativi

ERA IL ND tiene conto molti nodi, con i server applicativi multipli su ogni nodo ed applicazioni multiple in ogni assistente.

3) supporto di failover e di raggruppamento

4) il web server alimentabile-nei supporti ha appesantito l'amministrazione di quota di lavoro


Concetti di schieramento di rete?
---------------------------

L'anodo è un raggruppamento logico del server applicativo

-- ogni nodo è diretto tramite un singolo processo nodeagent
-- i nodi del mutiple possono esistere sulla singola macchina con l'uso dei profili

Un processo del responsabile di schieramento (dmgr) dirige i nodeagents
-- giudica la configurazione respoitory per l'intero dominio di amministrazione, denominato una cellula

-- all'interno di una cellula la sezione comandi amministrativa funziona all'interno del dmgr using questa sezione comandi che potete dirigere tutti i nodi in una cellula.

-- Tutti gli aggiornamenti alle lime di configurazione dovrebbero passare attraverso il responsabile di schieramento.