Vraag : Verwijderend Rootkit.Agent op SP3 ComboFix van Vensters XP logboek in bijlage

Ik heb een machine XPP met RootKit.Agent op het ontdekt door MalwareBytes.  Ik probeerde een bos van tijden met MWB maar geen succes van de hand te doen.  Stelde ComboFix in werking en hier is het logboek.  Het ontdekte de haken van RootKit MBR maar ik ben niet zeker hoe te om het te bevestigen.  Om het even welke gedachten? logboek

ComboFix:

ComboFix 10-06-17.01 - het e-n 14:45 van 06/17/2010: 42.1.2 - x86
Microsoft Vensters XP Professionele 5.1.2600.3.1252.1.1033.18.3071.2680 [het -4:00 van GMT]
Running van: C:\New Folder\ComboFix.exe
.

(((((((((((((((((((((((((( (((((((((( (((Andere Schrappingen)))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\win.co m
D:\Autorun.inf

.
(((((((((((((((((((((((((Dossiers van 2010-05-17 tot 2010-06-17 worden gecre�ërd die)))))))))))))))))))))))))))))))18:06
.

2010-06-17: 21. 2010-06-17 18:06: 21 27140      ---hagedoorn C:\WINDOWS\system32\mlfcac he.dat
2010-06-17: 54. 2010-06-17 18:30: 40 664      a-w- C:\WINDOWS\system32\d3d9ca ps.dat
2010-06-17: 04. 2010-04-29 19:39: 38 38224      a-w- C:\WINDOWS\system32\driver s \ mbamswissarmy.sys
2010-06-17: 02. 2010-04-29 19:39: 26 20952      a-w- C:\WINDOWS\system32\driver s \ 16:17 mbam.sys
2010-06-17: 24. 2010-06-17 16:17: 24            Dw C:\Documents and Settings\ed\Application het 16:14 van Gegevens \ TeamViewer
2010-06-17: 35. 2010-06-17 16:14: 35            Dw C:\Documents and Settings\ed\Local van Montages het 16:02 van de Gegevens \ PCHealth
2010-06-17 van de \- Toepassing: 26. 2010-06-17 16:03: 24            Dw C:\Documents and Settings\LocalService\Loca l van Montages het 16:00 van de Gegevens \ Temp
2010-06-17 van de \- Toepassing: 59. 2010-06-17 16:00: 59            Dw C:\WINDOWS\system32\wbem\R epository
2010-06-16: 09. 2010-06-16 20:19: 09            Dw C:\Program Files\Sophos
2010-06-16: 50. 2010-06-17 15:58: 17            Dw C:\Documents and Settings\HelpAssistant\ _rpcs
2010-06-16: 24. 2009-11-11 18:00: 27            Dw C:\Documents and Settings\HelpAssistant\IET ldCache
2010-06-16: 23. 2010-06-17 15:58: 26            D-s---w C:\Documents and Settings\HelpAssistant
2010-06-16: 52. 2010-06-16 19:38: 52            Dw C:\Documents and Settings\ed\Application het 19:38 van Gegevens \ Malwarebytes
2010-06-16: 43. 2010-06-16 19:38: 43            Dw C:\Documents and Settings\All van Gebruikers het 19:38 van de Gegevens \ Malwarebytes
2010-06-16 van de \- Toepassing: 42. 2010-06-17 16:24: 06            Dw C:\Program Files\Malwarebytes ' anti-Malware

.
(((((((((((((((((((((((((( (((((((((( ((((Find3M- Rapport))))))))))))))))))))))))))))))))))))))))))))))))))))17:55
.
2010-06-17: 20. 2009-10-19 16:37: 42            Dw C:\Documents and Settings\ed\Application het 16:02 van Gegevens \ Apple Computer
2010-06-17: 35. 2009-02-23 21:56: 03            Dw C:\Documents and Settings\All van Gebruikers het 20:47 van de Gegevens \ Google Updater
2010-06-10 van de \- Toepassing: 58. 2008-09-12 13:09: 28            Dw C:\Documents and Settings\All van Gebruikers het 12:29 van de Gegevens \ Microsoft Help
2010-06-01 van de \- Toepassing: 28. 2008-11-12 14:56: 58 1682      --van sha-w C:\Documents and Settings\All Gebruikers het 12:29 KGyGaAvL.sys
2010-06-01 van de Gegevens \ van de \- Toepassing: 28. 2008-11-12 14:56: 58 1682      --van sha-w C:\Documents and Settings\All Gebruikers het 14:39 KGyGaAvL.sys
2010-05-26 van de Gegevens \ van de \- Toepassing: 08. 2010-06-16 20:19: 38 6144      w C:\WINDOWS\system32\5.tmp
2010-05-26: 08. 2010-06-16 20:19: 27 6144      w C:\WINDOWS\system32\4.tmp
2010-05-26: 08. 2010-06-16 20:19: 15 6144      w C:\WINDOWS\system32\3.tmp
2010-05-24: 06. 2009-02-23 21:56: 01            Dw C:\Program Files\Google
2010-05-10: 32. 2008-09-25 18:42: 19            Dw C:\Program Files\Common het 18:17 van Dossiers \ Adobe
2010-03-24: 47. 2010-03-24 08:04: 49 952768      a-w- C:\Documents and Settings\All van Gebruikers de Lezer \ 9.2 \ het 18:17 AdobeARM.exe
2010-03-24 van de Update ARM \ van het WAPEN \ van de Adobe \ van de Gegevens \ van de \- Toepassing: 47. 2010-03-24 08:04: 49 70584      a-w- C:\Documents and Settings\All van Gebruikers de Lezer \ 9.2 \ het 18:17 AdobeExtractFiles.dll
2010-03-24 van de Update ARM \ van het WAPEN \ van de Adobe \ van de Gegevens \ van de \- Toepassing: 47. 2010-03-24 08:04: 49 326056      a-w- C:\Documents and Settings\All van Gebruikers de Lezer \ 9.2 \ het 18:17 ReaderUpdater.exe
2010-03-24 van de Update ARM \ van het WAPEN \ van de Adobe \ van de Gegevens \ van de \- Toepassing: 47. 2010-03-24 08:04: 49 326056      a-w- van C:\Documents and Settings\All van de Gebruikers de Lezer van de Adobe \ van de Gegevens \ van de \- Toepassing \ 9.2 \ de Update ARM \ AcrobatUpdater.exe
.

van het WAPEN \ (((((((((((((((((((((((((( (((((((((( (Reg. de Punten van de Lading))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* de lege ingangen & legit ingangen in gebreke blijven wordt getoond geen
REGEDIT4

[de In werking gestelde Vensters \ CurrentVersion \ van HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \]
" TSTimer " = " C:\Program Files\Timeslips\TSTimer.ex e " [22:28 2006-06-15: 34 2429992]
" swg " = " C:\Program Files\Google\GoogleToolbar Notifier \ GoogleToolbarNotifier.exe " [21:56 2009-02-23: 03 39408]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ In werking gestelde CurrentVersion \]
" IgfxTray " = " C:\WINDOWS\sys tem32 \ igfxtray.exe " [15:08 2007-11-26: 42 141848]
" HotKeysCmds " = " C:\WINDOWS\ system32 \ hkcmd.exe " [15:08 2007-11-26: 24 166424]
" Persistentie " = " C:\WINDOWS\ system32 \ igfxpers.exe " [15:08 2007-11-26: 36 Volledige 137752]
" PDF " = " C:\Program Files\PDF Volledige \ pdfsty.exe " [14:10 2008-04-07: 52 318488]
" SetRefresh " = " C:\Program Files\Compaq\SetRefresh\Se tRefresh.exe " [19:01 2003-11-20: 08 525824]
" Recguard " = " C:\WINDOWS\Smi nst \ Recguard.exe " [19:50 2006-05-12: 16 1138688]
" Herinnering " = " C:\WINDOWS\Cre ator \ Remind_XP.exe " [21:44 2006-03-31: 26 761856]
" Planner " = " C:\WINDOWS\SM INST \ Scheduler.exe " [17:53 2006-07-10: 08 872448]
" Matrox PowerDesk SE " = " c:\Program Files\Matrox Graphics Inc \ PowerDesk SE \ Matrox.PowerDesk SE.exe " [20:33 2008-06-11: 38 2630664]
" Act.Outlook.Service " = " C:\ Program- Dossiers van de \- HANDELING \- Akte voor Vensters \ Act.Outlook.Service.exe " [16:08 2009-02-24: /> " Akte 48 28672] " Google de Snelle " = " de Doos van het Onderzoek van C:\Program Files\Google\Quick \ GoogleQuickSearchBox.exe " [13:45 2009-05-27: 19 68592]
" AppleSyncNotifier " = " van C:\Pr ier.exe van de Steun \ van het Apparaat van de Dossiers \ Apple \ van/>ogram- Dossiers \ de Gemeenschappelijke Mobiele " [20:51 2009-08-13: 42 177440]
" QuickTime Taak " = " C:\Program Files\QuickTime\qttask.exe " [04:08 2009-11-11: 18 417792]
" iTunesHelper " = " C:\Program Dossiers \ iTunes \ iTunesHelper.exe " [23:07 2010-02-15: 02 141608]
" KMCONFIG " = " C:\Program Files\iHome\Mouse Bestuurder \ StartAutorun.exe " [06:22 2008-05-30: 32 212992]
" de Laag van de Abstractie van de Pit en van de Hardware " = " KHALMNPR.EXE " [18:46 2008-10-10: 26 69632]
" STFWebFormApp " = " Dossiers \ STF de Diensten Gedeelde \ WebFormApp.exe van de Dossiers \ van C:\Progra m de Gemeenschappelijke " [19:10 2010-04-08: 34 85128]
" de Lanceerinrichting van de Snelheid van de Lezer van de Adobe " = " C:\Program Files\Adobe\Reader 9.0 \ Lezer \ Reader_sl.exe " [05:42 2010-04-04: 51 36272]
het " WAPEN van de Adobe " = " C:\Program Files\Common het WAPEN \ 1.0 \ AdobeARM.exe van de Adobe \ van Dossiers \ " [18:17 2010-03-24: 52 952768] van

C:\Documents and Settings\All Gebruikers \ van het Begin van het Menu Start\ van \- Programma's \
Device Detector 3.lnk - C:\Program Files\Olympus\DeviceDetect or \ DevDtct2.exe [2009-2-5 163840]
Directrec Configuratie Tool.lnk - C:\Program Files\Olympus\DeviceDetect or \ DirectrecConfig.exe [2009-2-5 167936]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\Se tPoint.exe [2010-3-25 809488]
MultiMon Taskbar.lnk - C:\Program Files\MMTaskbar\MultiMon.e xe [2008-9-15 294912]
Windows Search.lnk - C:\Program Files\Windows het Onderzoek \ WindowsSearch.exe [2008-5-26 123904]

[de vensters van HKEY_CURRENT_USER \ software \ microsoft \ \ currentversion \ policies \ system]
" HideLogonScripts " van de Desktop = 0 (0x0)

[hkey_local_machine\ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} „= „C:\Program Files\Windows het Onderzoek van de Desktop \ MSNLNamespaceMgr.dll“ [02:41 2009-05-25: 34 304128]

[currentversion \ \ winlogon \ van HKEY_LOCAL_MACHINE deelt \ software \ microsoft \ windows nt \ LBTWlgn] mee 20:41
2008-11-07: 22 72208      a-w- c:\Program Files\Common van Dossiers \ Logishrd \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup]
@= ""

[HKLM \ ~ \ de diensten\ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplist/>ications \ L " %windir% \ \ system32 \ \ sessmgr.exe " =
" C:\ \ van de VENSTERS \ \ SMINST \ \ Scheduler.exe " =
" %windir% \ van het \- Netwerk de Kenmerkende \ \ xpnetdiag.exe " =
" C:\ Dossiers \ \ Microsoft Office \ \ van het \- ProgrammaOffice12 \ \ OUTLOOK.EXE " =

[HKLM \ ~ de \- diensten\ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \- Lijst]
" 65533: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: Verre Desktop

R1 Mtxparmx; Mtxparmx; C:\WINDO WS \ system32 \ bestuurders \ mtxparmx.sys [het 8:22 van 9/12/2008: 20 AM 5504]
R2 KMWDSERVICE; De Communicatiedienst van het toetsenbord en van de Muis; C:\Program Files\iHome\Mouse Bestuurder \ KMWDSrv.exe [het 10:28 van 6/23/2008: 08 PM 208896]
R2 LBeepKE; LBeepKE; C:\WINDOWS \ system32 \ drivers \ LBeepKE.sys [het 11:33 van 3/25/2010: 37 AM 10384] de CentreerDienst van
R2 Matrox; De CentreerDienst van Matrox; de Diensten \ Matrox.PowerDesk van C:\Program Files\Matrox Graphics Inc \ PowerDesk \. Services.exe [het 4:29 van 6/11/2008: 26 PM 586760]
R2 Matrox.Pdesk.ServicesHost; Matrox.Pdesk. ServicesHost; van C:\P st.exe van/>rogram- Dossiers \ Matrox Graphics Inc \ [het 4:33 van 6/11/2008: 38 PM 189448]
R2 MSSQL$ACT7; SQL Server (ACT7); C:\Program Files\Microsoft SQL Server \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [het 3:27 van 5/27/2009: 04 AM 29262680]
R2 pdfcDispatcher; De Manager van het pdf- Document; C:\Program Files\PDF Volledige \ pdfsvc.exe [het 5:19 van 5/27/2008: 14 AM 576024]
R3 MTXPAR; MTXPAR; C:\WINDOWS\s ystem32 \ drivers \ MTXPARM.sys [het 8:22 van 9/12/2008: 20 AM 1485568]/>S2 HANDELING S2 gupdate1c9960193c6b225; De Dienst van de Update van Google (gupdate1c9960193c6b225); C: \ De Update van de Dossiers \ Google \ van het programma \ GoogleUpdate.exe [het 5:56 van 2/23/2009: 27 PM 133104]
S2 TSScheduleBackup; TimeslipsBackup; C:\ WINDOWS \ system32 \ TSSchBkpService.exe [het 12:47 van 9/15/2008: 43 PM 705024]
.
Contents van de „Geplande Update \ SoftwareUpdate.exe van de Software van Taken“ folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft wareUpdate.job
- C:\Program Files\Apple [16:34 2008-07-30: 12. 2008-07-30 16:34: 12]

2010-06-17 C:\WINDOWS\Tasks\Google Software Updater.job
- C:\Program Files\Google\Common\Google Updater \ GoogleUpdaterService.exe [21:56 2009-02-23: 01. 2009-03-24 14:54: 17]

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google Update.exe [21:56 2009-02-23: 27. 2009-02-23 21:56: 24]

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google Update.exe [21:56 2009-02-23: 27. 2009-02-23 21:56: 24]
.
.
Supplementair Aftasten
.
uStart- Pagina = hxxp: //my.yahoo.com/
uInternet Montages, ProxyOverride = *.local
IE: &AOL het Onderzoek van de toolbar - C:\Documents and Settings\All van Gebruikers de Gegevens van de \- Toepassing \ AOL \ ieToolbar \ resources \ de Engels-V.S. \ local \ search.html
IE: E&xport aan Microsoft Excel - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - VERWIJDERDE WEZEN - - - -

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \ Lezer \ AdobeUpdateManager.exe



************************** ********** ********** ********** ********** ********

catchme 0.3.1398 W2K/XP/Vista - rootkit/heimelijkheids malware detector door Gmer, http://www.gmer.net
Rootkit aftasten 2010-06-17 15:00: 42
Windows 5.1.2600 Service Pack 3 de processen…/>scanning verborgen autostart


scanning verborgen van ingangen…/>scanning verborgen dossiers

scan voltooide successfully
hidden- dossiers: 0

************************** ********** ********** ********** ********** ********

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 door Gmer, http://www.gmer.net

device: geopende successfully
user: MBR gelezen successfully
called: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8983C78A] <<
kernel: MBR gelezen successfully
detected MBR: de Schijf van de
\ Bestuurder \ - > de Bestuurder \ ACPI van CLASSPNP.SYS @ 0xba0ecf28
\ - > atapi van de Bestuurder \ van ACPI.sys @ 0xb9f7fcb8
\ - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ Apparaat \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168C (P) /8111C (P) pci-e Gigabit Ethernet NIC - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - is > NDIS.sys @ 0xb9e0887b
copy van MBR gevonden in de sector 0x03A380D83 van de sector0x03A380D80 code
malicious @! />PE dossier
MBR! Gebruik: „mbr.exe - F“ aan fix.

************************** ********** ********** ********** ********** ********

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher]
" ImagePath " = " C:\Program Files\PDF Volledige \ pdfsvc.exe /startedbyscm: 66B66708-40E2BE4D-pdfcService "
.
DLLs onder Lopende Processen wordt geladen dat

- - - - - - - > de dossiers van „winlogon.exe“ (716)
c:\program files\common dossiers \ logishrd \ bluetooth \ LBTWlgn.dll
c:\program files\common \ logishrd \ bluetooth \ LBTServ.dll

- - - - - - - > „lsass.exe“ (772)
C:\Program Files\Bonjour\mdnsNSP.dll
.
Completion: 2010-06-17 15:02: 19:02 08
ComboFix-quarantined-files.txt 2010-06-17: 06

Pre-Run: 464.428.068.864 bytes free
Post-Run: 464.632.573.952 bytes free
[laarslader]
timeout=2
default=multi (0) schijf/>
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
sk (0) partition (1) \ WINDOWS
[werkende systemen]
C:\CMDCONS\BOOTSECT.DAT = /cmdcons
icrosoft“/>multi (van 0 Professionele“ /noexecute =optin) schijf (0) rdisk (0) partition (1) \ WINDOWS= " Microsoft Vensters XP /fastdetect

- - Eind van Dossier - - 8C319282DDFBE1A4552469747AD1DA29

Antwoord : Verwijderend Rootkit.Agent op SP3 ComboFix van Vensters XP logboek in bijlage


Voordelen van de Plaatsing van het Netwerk


    * Bouw gemakkelijk en voer snel de toepassingsdiensten in en
    * Leid de diensten in het veiligste, scalable, hoogst-beschikbare milieu
    * Gebruik softwareactiva opnieuw en breid hun bereik uit
    * Beheer moeiteloos toepassingen
    * Groei aangezien de behoeften evolueren, leveraging kernactiva en vaardigheden
    * De Plaatsing van het Netwerk van de Server van de Toepassing WebSphere levert de veilige, scalable, hoogst-beschikbare toepassingsinfrastructuur u voor SOA wenst.
    * De verbeterde functies van Webserveices

Wat wij kunnen met de Plaatsing van het Netwerk doen?


Het belangrijkste thema met netwerkdeoplyment is verdeelde toepassingen. Terwijl de stroom van een toepassing het zelfde blijft, zijn er signigicant toevoegingen aan runtime van een toepassing.


1) De Plaatsing van het netwerk. Deze versie steunt plaatsing van een celconfiguratie met cluster en J2EE failover steun. Het omvat nu ook de Componenten van de Rand, eerder als de Server die van de Rand worden bekend. Dit verstrekt een volmachtsserver, lading het in evenwicht brengen, en hetgebaseerde verpletteren.

2) De Plaatsing van het Netwerk van de Server van de Toepassing van IBM WebSphere verstrekt de administratieve functionaliteit om uw toepassingscode op te stellen en te bevorderen aan alle knopen in uw cluster van de toepassingsserver.

WAS Nd verstrekt flexibiliteit voor het uitspreiden van uw toepassingen over cellen, knopen, en toepassingsservers

WAS Nd toestaat voor vele knopen, met veelvoudige toepassingsservers op elke knoop en veelvoudige toepassingen in elke server.

3) het groeperen zich en failover steun

4) webserver plugin-in steunen gewogen werkbelastingsbeheer


De concepten van de Plaatsing van het netwerk?


De anode is een logische groepering van toepassingsserver

-- elke knoop wordt geleid door één enkel nodeagent proces
-- mutiple kunnen de knopen op enige machine door het gebruik van profielen bestaan

Proces een van de plaatsingsmanager (dmgr) beheert nodeagents
-- houdt de configuratie voor het volledige beheersdomein respoitory, genoemd een cel

-- binnen een cel loopt de administratieve console binnen dmgr gebruikend deze console u alle knopen in een cel kunt leiden.

-- Alle updates aan de configuratiedossiers door de plaatsingsmanager moeten zouden gaan.
Andere oplossingen  
 
programming4us programming4us