Pytanie : Rootkit.Agent na Windows XP SP3 ComboFix bela dołączać

I mieć XPP maszyna z RootKit.Agent na ono wykrywać MalwareBytes.  I próbować wiązka czas pozbywać się z MWB ale żadny sukces.  Biegać ComboFix i tutaj być the bela.  Ono wykrywać RootKit MBR haczyk ale I być pewny dlaczego ono.  Jakaś myśl?

ComboFix Bela:

ComboFix 10-06-17.01 - ed 06/17/2010 14:45: 42.1.2 - x86
Microsoft Windows XP Profesjonalista 5.1.2600.3.1252.1.1033.18.3071.2680 [GMT -4:00]
Running od: C:\New Folder\ComboFix.exe
.

(((((((((((((((((((((((((( (((((((((( (((Inny Skasowanie)))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\win.co m
D:\Autorun.inf

.
(((((((((((((((((((((((((Kartoteka Tworzyć od 2010-05-17 2010-06-17)))))))))))))))))))))))))))))))
.

2010-06-17 18:06: 21. 2010-06-17 18:06: 21 27140      ---ha-w- C:\WINDOWS\system32\mlfcac he.dat
2010-06-17 18:03: 54. 2010-06-17 18:30: 40 664      ----a-w- C:\WINDOWS\system32\d3d9ca ps.dat
2010-06-17 16:24: 04. 2010-04-29 19:39: 38 38224      ----a-w- C:\WINDOWS\system32\driver s \ mbamswissarmy.sys
2010-06-17 16:24: 02. 2010-04-29 19:39: 26 20952      ----a-w- C:\WINDOWS\system32\driver s \ mbam.sys
2010-06-17 16:17: 24. 2010-06-17 16:17: 24      --------      D-----w- C:\Documents and Settings\ed\Application Dane \ TeamViewer
2010-06-17 16:14: 35. 2010-06-17 16:14: 35      --------      D-----w- C:\Documents and Settings\ed\Local Położenie \ Podaniowy Dane \ PCHealth
2010-06-17 16:02: 26. 2010-06-17 16:03: 24      --------      D-----w- C:\Documents and Settings\LocalService\Loca l Położenie \ Podaniowy Dane \ Temp
2010-06-17 16:00: 59. 2010-06-17 16:00: 59      --------      D-----w- C:\WINDOWS\system32\wbem\R epository
2010-06-16 20:19: 09. 2010-06-16 20:19: 09      --------      D-----w- C:\Program Files\Sophos
2010-06-16 19:51: 50. 2010-06-17 15:58: 17      --------      D-----w- C:\Documents and Settings\HelpAssistant\ _rpcs
2010-06-16 19:44: 24. 2009-11-11 18:00: 27      --------      D-----w- C:\Documents and Settings\HelpAssistant\IET ldCache
2010-06-16 19:44: 23. 2010-06-17 15:58: 26      --------      d-s---w- C:\Documents and Settings\HelpAssistant
2010-06-16 19:38: 52. 2010-06-16 19:38: 52      --------      D-----w- C:\Documents and Settings\ed\Application Dane \ Malwarebytes
2010-06-16 19:38: 43. 2010-06-16 19:38: 43      --------      D-----w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ Malwarebytes
2010-06-16 19:38: 42. 2010-06-17 16:24: 06      --------      D-----w- C:\Program Files\Malwarebytes ' Anty-Malware

.
(((((((((((((((((((((((((( (((((((((( ((((Find3M Raport))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-17 17:55: 20. 2009-10-19 16:37: 42      --------      D-----w- C:\Documents and Settings\ed\Application Dane \ Jabłczany Computer
2010-06-17 16:02: 35. 2009-02-23 21:56: 03      --------      D-----w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ Google Updater
2010-06-10 20:47: 58. 2008-09-12 13:09: 28      --------      D-----w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ Microsoft Help
2010-06-01 12:29: 28. 2008-11-12 14:56: 58 1682      --sha-w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ KGyGaAvL.sys
2010-06-01 12:29: 28. 2008-11-12 14:56: 58 1682      --sha-w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ KGyGaAvL.sys
2010-05-26 14:39: 08. 2010-06-16 20:19: 38 6144      ------w- C:\WINDOWS\system32\5.tmp
2010-05-26 14:39: 08. 2010-06-16 20:19: 27 6144      ------w- C:\WINDOWS\system32\4.tmp
2010-05-26 14:39: 08. 2010-06-16 20:19: 15 6144      ------w- C:\WINDOWS\system32\3.tmp
2010-05-24 13:23: 06. 2009-02-23 21:56: 01      --------      D-----w- C:\Program Files\Google
2010-05-10 12:27: 32. 2008-09-25 18:42: 19      --------      D-----w- C:\Program Files\Common Kartoteka \ Adobe
2010-03-24 18:17: 47. 2010-03-24 08:04: 49 952768      ----a-w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ Adobe \ Czytelnik \ 9.2 \ RĘKA \ ARM Aktualizacja \ AdobeARM.exe
2010-03-24 18:17: 47. 2010-03-24 08:04: 49 70584      ----a-w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ Adobe \ Czytelnik \ 9.2 \ RĘKA \ ARM Aktualizacja \ AdobeExtractFiles.dll
2010-03-24 18:17: 47. 2010-03-24 08:04: 49 326056      ----a-w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ Adobe \ Czytelnik \ 9.2 \ RĘKA \ ARM Aktualizacja \ ReaderUpdater.exe
2010-03-24 18:17: 47. 2010-03-24 08:04: 49 326056      ----a-w- C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ Adobe \ Czytelnik \ 9.2 \ RĘKA \ ARM Aktualizacja \ AcrobatUpdater.exe
.

(((((((((((((((((((((((((( (((((((((( (Reg Ładowniczy Punkt))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* opróżniać wejście & legit brak wejście pokazywać
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Biegać]
" TSTimer " = " C:\Program Files\Timeslips\TSTimer.ex e " [2006-06-15 22:28: 34 2429992]
" swg " = " C:\Program Files\Google\GoogleToolbar Notifier \ GoogleToolbarNotifier.exe " [2009-02-23 21:56: 03 39408]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Biegać]
" IgfxTray " = " C:\WINDOWS\sys tem32 \ igfxtray.exe " [2007-11-26 15:08: 42 141848]
" HotKeysCmds " = " C:\WINDOWS\ system32 \ hkcmd.exe " [2007-11-26 15:08: 24 166424]
" Uporczywość " = " C:\WINDOWS\ system32 \ igfxpers.exe " [2007-11-26 15:08: 36 137752]
" PDF Zupełny " = " C:\Program Files\PDF Zupełny \ pdfsty.exe " [2008-04-07 14:10: 52 318488]
" SetRefresh " = " C:\Program Files\Compaq\SetRefresh\Se tRefresh.exe " [2003-11-20 19:01: 08 525824]
" Recguard " = " C:\WINDOWS\Smi nst \ Recguard.exe " [2006-05-12 19:50: 16 1138688]
" Przypomnienie " = " C:\WINDOWS\Cre ator \ Remind_XP.exe " [2006-03-31 21:44: 26 761856]
" Scheduler " = " C:\WINDOWS\SM INST \ Scheduler.exe " [2006-07-10 17:53: 08 872448]
" Matrox PowerDesk SE " = " c:\Program Files\Matrox Grafika Inc \ PowerDesk SE \ Matrox.PowerDesk SE.exe " [2008-06-11 20:33: 38 2630664]
" Act.Outlook.Service " = " C:\ Program Kartoteka \ AKT \ Akt dla Windows \ Act.Outlook.Service.exe " [2009-02-24 16:08: 48 28672]
" Akt! Preloader " = " C:\Program Files\ACT\Act dla Windows \ ActSage.exe " [2009-02-24 16:09: 14 393216]
" Google Szybki Rewizja Pudełko " = " C:\Program Files\Google\Quick Rewizja Pudełko \ GoogleQuickSearchBox.exe " [2009-05-27 13:45: 19 68592]
" AppleSyncNotifier " = " C:\Pr ogram Kartoteka \ Pospolity Kartoteka \ Apple \ Urządzenie Przenośne Poparcie \ kosz \ AppleSyncNotifier.exe " [2009-08-13 20:51: 42 177440]
" QuickTime Zadanie " = " C:\Program Files\QuickTime\qttask.exe " [2009-11-11 04:08: 18 417792]
" iTunesHelper " = " C:\Program Kartoteka \ iTunes \ iTunesHelper.exe " [2010-02-15 23:07: 02 141608]
" KMCONFIG " = " C:\Program Files\iHome\Mouse Kierowca \ StartAutorun.exe " [2008-05-30 06:22: 32 212992]
" Nasiono i Narzędzia Abstrakcja Warstwa " = " KHALMNPR.EXE " [2008-10-10 18:46: 26 69632]
" STFWebFormApp " = " C:\Progra m Kartoteka \ Pospolity Kartoteka \ STF Usługiwać Podzielony \ WebFormApp.exe " [2010-04-08 19:10: 34 85128]
" Adobe Czytelnik Prędkość Wyrzutnia " = " C:\Program Files\Adobe\Reader 9.0 \ Czytelnik \ Reader_sl.exe " [2010-04-04 05:42: 51 36272]
" Adobe RĘKA " = " C:\Program Files\Common Kartoteka \ Adobe \ RĘKA \ 1.0 \ AdobeARM.exe " [2010-03-24 18:17: 52 952768]

C:\Documents and Settings\All Użytkownik \ Początek Menu \ Program \ Rozpoczęcie \
Device Detektor 3.lnk - C:\Program Files\Olympus\DeviceDetect or \ DevDtct2.exe [2009-2-5 163840]
Directrec Konfiguracja Tool.lnk - C:\Program Files\Olympus\DeviceDetect or \ DirectrecConfig.exe [2009-2-5 167936]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\Se tPoint.exe [2010-3-25 809488]
MultiMon Taskbar.lnk - C:\Program Files\MMTaskbar\MultiMon.e xe [2008-9-15 294912]
Windows Search.lnk - C:\Program Files\Windows/> Rewizja \ WindowsSearch.exe [2008-5-26 123904]

[HKEY_CURRENT_USER \ software \ microsoft \ okno \ currentversion \ policies \ system]
" HideLogonScripts " = (0) (0x0)

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} "= "C:\Program Files\Windows 02:41 Rewizja \ MSNLNamespaceMgr.dll" [2009-05-25 02:41: 34 304128]

[HKEY_LOCAL_MACHINE \ software \ microsoft \ windows nt \ currentversion \ winlogon \ zawiadamiać \ LBTWlgn]
2008-11-07 20:41: 22 72208      ----a-w- c:\Program Files\Common Kartoteka \ Logishrd \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup]
@= ""

[HKLM \ ~ \ usługa \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List]
" %windir% \ \ system32 \ \ sessmgr.exe " =
" C:\ \ WINDOWS \ \ SMINST \ \ Scheduler.exe " =
" %windir% \ \ Sieć Diagnostyczny \ \ xpnetdiag.exe " =
" C:\ \ Program Kartoteka \ \ Microsoft Office \ \Office12 \ \ OUTLOOK.EXE " =

[HKLM \ ~ \ usługa \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ Lista]
" 65533: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: Daleki Desktop

R1 Mtxparmx; Mtxparmx; C:\WINDO WS \ system32 \ kierowca \ mtxparmx.sys [9/12/2008 8:22: 20 AM 5504]
R2 KMWDSERVICE; Klawiatura I Mysz Usługi Komunikacyjne; C:\Program Files\iHome\Mouse Kierowca \ KMWDSrv.exe [6/23/2008 10:28: 08 PM 208896]
R2 LBeepKE; LBeepKE; C:\WINDOWS \ system32 \ drivers \ LBeepKE.sys [3/25/2010 11:33: 37 AM 10384]
R2 Matrox Dośrodkowanie Usługa; Matrox Dośrodkowanie Usługa; C:\Program Files\Matrox Grafika Inc \ PowerDesk \ Usługa \ Matrox.PowerDesk. Services.exe [6/11/2008 4:29: 26 PM 586760]
R2 Matrox.Pdesk.ServicesHost; Matrox.Pdesk. ServicesHost; C:\P rogram Kartoteka \ Matrox Grafika Inc \ PowerDesk SE \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 4:33: 38 PM 189448]
R2 MSSQL$ACT7; SQL Serwer (ACT7); C:\Program Files\Microsoft SQL Serwer \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 3:27: 04 AM 29262680]
R2 pdfcDispatcher; PDF Dokument Kierownik; C:\Program Files\PDF Zupełny \ pdfsvc.exe [5/27/2008 5:19: 14 AM 576024]
R3 MTXPAR; MTXPAR; C:\WINDOWS\s ystem32 \ drivers \ MTXPARM.sys [9/12/2008 8:22: 20 AM 1485568]
S2 AKT! Scheduler; AKT! Scheduler; C:\Program Files\ACT\Act dla Windows \ Act.Scheduler.exe [2/24/2009 12:08: 50 PM 81920]
S2 gupdate1c9960193c6b225; Google Aktualizacja Usługa (gupdate1c9960193c6b225); C: \ Program Kartoteka \ Google \ Aktualizacja \ GoogleUpdate.exe [2/23/2009 5:56: 27 PM 133104]
S2 TSScheduleBackup; TimeslipsBackup; C:\ WINDOWS \ system32 \ TSSchBkpService.exe [9/15/2008 12:47: 43 PM 705024]
.
Contents the "Planować Zadanie folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft wareUpdate.job
- C:\Program Files\Apple Uaktualnienie Programu \ SoftwareUpdate.exe [2008-07-30 16:34: 12. 2008-07-30 16:34: 12]

2010-06-17 C:\WINDOWS\Tasks\Google Oprogramowanie Updater.job
- C:\Program Files\Google\Common\Google Updater \ GoogleUpdaterService.exe [2009-02-23 21:56: 01. 2009-03-24 14:54: 17]

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google Update.exe [2009-02-23 21:56: 27. 2009-02-23 21:56: 24]

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google Update.exe [2009-02-23 21:56: 27. 2009-02-23 21:56: 24]
.
.
------- Dodatkowy Obraz cyfrowy -------
.
uStart Strona = hxxp: //my.yahoo.com/
uInternet Położenie, ProxyOverride = *.local
IE: &AOL Pasek narzędzi Rewizja - C:\Documents and Settings\All Użytkownik \ Podaniowy Dane \ AOL \ ieToolbar \ resources \ en-USA \ local \ search.html
IE: E&xport Microsoft Przodować - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - SIEROTA USUWAĆ - - - -

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \ Czytelnik \ AdobeUpdateManager.exe



************************** ********** ********** ********** ********** ********

catchme 0.3.1398 W2K/XP/Vista - rootkit/podstęp malware detektor Gmer, http://www.gmer.net
Rootkit obraz cyfrowy 2010-06-17 15:00: 42
Windows 5.1.2600 Pakiet Uaktualnień 3 NTFS

scanning chować proces…

scanning chować autostart wejście…

scanning chować kartoteka…

scan uzupełniać successfully
hidden kartoteka: 0

************************** ********** ********** ********** ********** ********

Stealth MBR rootkit/Mebroot/Sinowal detektor 0.3.7 Gmer, http://www.gmer.net

device: rozpieczętowany successfully
user: MBR read successfully
called moduł: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8983C78A] <<
kernel: MBR read successfully
detected MBR rootkit haczyk:
\ Kierowca \ Dysk - > CLASSPNP.SYS @ 0xba0ecf28
\ Kierowca \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ Kierowca \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ Przyrząd \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168C (P) /8111C (P) PCI-E Gigabit Ethernet NIC - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy MBR znajdować w sektor 0x03A380D80
malicious kod @ sektor 0x03A380D83!
PE kartoteka zakładać w sektor przy 0x03A380D99!
MBR rootkit infekcja wykrywać! Use: "mbr.exe - f" fix.

************************** ********** ********** ********** ********** ********

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher]
" ImagePath " = " C:\Program Files\PDF Zupełny \ pdfsvc.exe /startedbyscm: 66B66708-40E2BE4D-pdfcService "
.
--------------------- DLLs Ładować Pod Działający Proces ---------------------

- - - - - - - > "winlogon.exe" (716)
c:\program files\common kartoteka \ logishrd \ bluetooth \ LBTWlgn.dll
c:\program files\common kartoteka \ logishrd \ bluetooth \ LBTServ.dll

- - - - - - - > "lsass.exe" (772)
C:\Program Files\Bonjour\mdnsNSP.dll
.
Completion czas: 2010-06-17 15:02: 08
ComboFix-quarantined-files.txt 2010-06-17 19:02: 06

Pre-Run: 464,428,068,864 bajt free
Post-Run: 464,632,573,952 bajt free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[but ładowacz]
timeout=2
default=multi ((0)) talerzowy ((0)) rdisk ((0)) partition (1) \ WINDOWS
[system operacyjny]
C:\CMDCONS\BOOTSECT.DAT = " Microsoft Windows Wyzdrowienie Konsola" /cmdcons
multi ((0)) talerzowy ((0)) rdisk ((0)) partition (1) \ WINDOWS= " Microsoft Windows XP Fachowy" /noexecute =optin /fastdetect

- - Końcówka Kartoteka - - 8C319282DDFBE1A4552469747AD1DA29

Odpowiedź : Rootkit.Agent na Windows XP SP3 ComboFix bela dołączać

Korzyść Sieć Rozmieszczenie
------------------------------

    * Budować i rozmieszczać podaniowy usługa szybko i łatwo
    * Biegać usługa w the bezpiecznie, rosnący, rosnący środowisko
    * Reuse oprogramowanie wartość i przedłużyć ich zasięg
    * Kierować zastosowanie bezwysiłkowo
    * Rosnąć gdy potrzeba rozwijać, wspierać sedno wartość i umiejętność
    * WebSphere Serwer Aplikacji Sieć Rozmieszczenie dostarczać the bezpiecznie, rosnący, rosnący podaniowy infrastruktura ty potrzebować dla SOA.
    * Uwydatniać sieć serveices funkcja

Rozmieszczenie my móc z Sieć Rozmieszczenie?
----------------------------------------

The główny temat z sieć deoplyment być zakłócać zastosowanie. Podczas Gdy the przepływ zastosowanie zostawać the zastosowanie, tam  być signigicant dodatek the runtime zastosowanie.


1) Sieć Rozmieszczenie. Ten wersja wspierać rozmieszczenie komórka konfiguracja z grono i J2EE failover poparcie. Ono teraz także zawierać Krawędź Składnik, poprzednio znać jako Krawędź Serwer. Numer banku zapewniać prokurent serwer, obciążeniowy równoważenie, i zadawalać-opierać się numer banku.

2) IBM WebSphere Serwer Aplikacji Sieć Rozmieszczenie zapewniać the administracyjny funkcjonalność i twój podaniowy kod wszystkie the guzek w twój serwer aplikacji grono.

BYĆ ND zapewniać elastyczność dla spreading twój zastosowanie przez komórka, guzek, i serwer aplikacji

BYĆ ND pozwolić dla wiele guzek, z wieloskładnikowy serwer aplikacji na wieloskładnikowy guzek i wielokrotność zastosowanie w wieloskładnikowy serwer.

3) i failover poparcie

4) webserver gniazdko wtyczkowe-w poparcie obciążać obciążenie pracą zarządzanie


Sieć Rozmieszczenie pojęcie?
---------------------------

Anoda być logiczny grupowanie serwer aplikacji

-- proces guzek kierować pojedynczy nodeagent proces
-- mutiple guzek móc na pojedynczy maszyna przez the use profil

Rozmieszczenie kierownik (dmgr) proces kierować the nodeagents
-- trzymać the konfiguracja respoitory dla the całkowity zarządzanie domena, dzwonić komórka

-- wśród komórka the administracyjny konsola biegać wśrodku the dmgr using ten konsola ty móc wszystkie guzek w komórka.

-- Wszystkie aktualizacja the konfiguracja kartoteka musieć przez the rozmieszczenie kierownik.