Pergunta : Removendo Rootkit.Agent no registro de Windows Xp SP3 ComboFix unido

Eu tenho uma máquina de XPP com o RootKit.Agent nele detetei por MalwareBytes.  Eu tentei um grupo das épocas começ livrado com de MWB mas de nenhum sucesso.  Funcionou ComboFix e é aqui o registro.  Detetou os ganchos de RootKit MBR mas eu não sou certo como repará-lo.  Algum pensamento? registro do

ComboFix:

ComboFix 10-06-17.01 - 14:45 do ed 06/17/2010: 42.1.2 -
Running do profissional 5.1.2600.3.1252.1.1033.18.3071.2680 de x86
Microsoft Windows XP [-4:00 do GMT] de:
.

de C:\New Folder\ComboFix.exe (((((((((((((((((((((((((( (((((((((( (((outros apagamentos)))))))))))))))))))))))))))))))))))))))))))))))))

.
do m
D:\Autorun.inf do
.

C:\WINDOWS\system32\win.co (((((((((((((((((((((((((limas criadas 2010-05-17 a 2010-06-17)))))))))))))))))))))))))))))))18:06 do
.

2010-06-17: 21. 2010-06-17 18:06: 21 27140      ---18:03 do he.dat
2010-06-17 de C:\WINDOWS\system32\mlfcac do ha-w-: 54. 2010-06-17 18:30: 40 664      ----16:24 do ps.dat
2010-06-17 do a-w- C:\WINDOWS\system32\d3d9ca: 04. 2010-04-29 19:39: 38 38224      ----s do a-w- C:\WINDOWS\system32\driver \ 16:24 do mbamswissarmy.sys
2010-06-17: 02. 2010-04-29 19:39: 26 20952      ----s do a-w- C:\WINDOWS\system32\driver \ 16:17 de mbam.sys
2010-06-17: 24. 2010-06-17 16:17: 24      --------      d-----16:14 dos dados \ TeamViewer
2010-06-17 do w- C:\Documents and Settings\ed\Application: 35. 2010-06-17 16:14: 35      --------      d-----ajustes do w- C:\Documents and Settings\ed\Local \ de dados \ PCHealth
2010-06-17 de aplicação 16:02: 26. 2010-06-17 16:03: 24      --------      d-----ajustes do l do w- C:\Documents and Settings\LocalService\Loca \ de dados \ Temp
2010-06-17 de aplicação 16:00: 59. 2010-06-17 16:00: 59      --------      d-----20:19 do epository
2010-06-16 do w- C:\WINDOWS\system32\wbem\R: 09. 2010-06-16 20:19: 09      --------      d-----19:51 do
2010-06-16 do w- C:\Program Files\Sophos: 50. 2010-06-17 15:58: 17      --------      d-----19:44 do _rpcs
2010-06-16 do w- C:\Documents and Settings\HelpAssistant\: 24. 2009-11-11 18:00: 27      --------      d-----19:44 do ldCache
2010-06-16 do w- C:\Documents and Settings\HelpAssistant\IET: 23. 2010-06-17 15:58: 26      --------      d-s---19:38 do
2010-06-16 do w- C:\Documents and Settings\HelpAssistant: 52. 2010-06-16 19:38: 52      --------      d-----19:38 dos dados \ Malwarebytes
2010-06-16 do w- C:\Documents and Settings\ed\Application: 43. 2010-06-16 19:38: 43      --------      d-----usuários do w- C:\Documents and Settings\All \ de dados \ Malwarebytes
2010-06-16 de aplicação 19:38: 42. 2010-06-17 16:24: 06      --------      d-----w- C:\Program Files\Malwarebytes ' Anti-Malware

.
(((((((((((((((((((((((((( (((((((((( ((((relatório de Find3M))))))))))))))))))))))))))))))))))))))))))))))))))))17:55 do
.
2010-06-17: 20. 2009-10-19 16:37: 42      --------      d-----16:02 dos dados \ Apple Computer
2010-06-17 do w- C:\Documents and Settings\ed\Application: 35. 2009-02-23 21:56: 03      --------      d-----usuários do w- C:\Documents and Settings\All \ de dados \ Google Updater
2010-06-10 de aplicação 20:47: 58. 2008-09-12 13:09: 28      --------      d-----usuários do w- C:\Documents and Settings\All \ de dados \ Microsoft Help
2010-06-01 de aplicação 12:29: 28. 2008-11-12 14:56: 58 1682      --usuários de sha-w- C:\Documents and Settings\All \ 12:29 dados de aplicação \ KGyGaAvL.sys
2010-06-01: 28. 2008-11-12 14:56: 58 1682      --usuários de sha-w- C:\Documents and Settings\All \ 14:39 dados de aplicação \ KGyGaAvL.sys
2010-05-26: 08. 2010-06-16 20:19: 38 6144      ------14:39 do
2010-05-26 do w- C:\WINDOWS\system32\5.tmp: 08. 2010-06-16 20:19: 27 6144      ------14:39 do
2010-05-26 do w- C:\WINDOWS\system32\4.tmp: 08. 2010-06-16 20:19: 15 6144      ------13:23 do
2010-05-24 do w- C:\WINDOWS\system32\3.tmp: 06. 2009-02-23 21:56: 01      --------      d-----12:27 do
2010-05-10 do w- C:\Program Files\Google: 32. 2008-09-25 18:42: 19      --------      d-----18:17 das limas \ Adobe
2010-03-24 do w- C:\Program Files\Common: 47. 2010-03-24 08:04: 49 952768      ----usuários do a-w- C:\Documents and Settings\All \ dados de aplicação \ Adobe \ leitor \ 9.2 \ 18:17 atualização do BRAÇO \ ARM \ AdobeARM.exe
2010-03-24: 47. 2010-03-24 08:04: 49 70584      ----usuários do a-w- C:\Documents and Settings\All \ dados de aplicação \ Adobe \ leitor \ 9.2 \ 18:17 atualização do BRAÇO \ ARM \ AdobeExtractFiles.dll
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----usuários do a-w- C:\Documents and Settings\All \ dados de aplicação \ Adobe \ leitor \ 9.2 \ 18:17 atualização do BRAÇO \ ARM \ ReaderUpdater.exe
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----usuários do a-w- C:\Documents and Settings\All \ dados de aplicação \ Adobe \ leitor \ 9.2 \ atualização do BRAÇO \ ARM \ AcrobatUpdater.exe
.

(((((((((((((((((((((((((( (((((((((( (pontos de carregamento do registro))))))))))))))))))))))))))))))))))))))))))))))))))o
.
.
*Note* esvazia entradas & as entradas do defeito do legit não são mostradas o
" TSTimer " = de " e do
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ funcionado] C:\Program Files\Timeslips\TSTimer.ex " [22:28 2006-06-15: 34 2429992]
" GTS " = de " Notifier \ GoogleToolbarNotifier.exe C:\Program Files\Google\GoogleToolbar " [21:56 2009-02-23: 03 39408]
" IgfxTray " = de " tem32 \ igfxtray.exe do

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ funcionado] C:\WINDOWS\sys " [15:08 2007-11-26: 42 141848]
" HotKeysCmds " = de " system32 \ hkcmd.exe C:\WINDOWS\ " [15:08 2007-11-26: 24 166424]
" persistência " = de " system32 \ igfxpers.exe C:\WINDOWS\ " [15:08 2007-11-26: 36 137752]
" pdf completo " = " C:\Program Files\PDF completo \ pdfsty.exe " [14:10 2008-04-07: 52 318488]
" SetRefresh " = de " tRefresh.exe C:\Program Files\Compaq\SetRefresh\Se " [19:01 2003-11-20: 08 525824]
" Recguard " = de " nst \ Recguard.exe C:\WINDOWS\Smi " [19:50 2006-05-12: 16 1138688]
" lembrete " = de " ator \ Remind_XP.exe C:\WINDOWS\Cre " [21:44 2006-03-31: 26 761856]
" planificador " = de " INST \ Scheduler.exe C:\WINDOWS\SM " [17:53 2006-07-10: 08 872448] SE do
" Matrox PowerDesk " = de " de gráficos Inc \ PowerDesk c:\Program Files\Matrox SE \ Matrox.PowerDesk SE.exe " [20:33 2008-06-11: 38 2630664]
" Act.Outlook.Service " = de " limas do Program C:\ \ ATO \ ato para Windows \ Act.Outlook.Service.exe " [16:08 2009-02-24: 48 28672] ato do
"! Preloader " = " C:\Program Files\ACT\Act para Windows \ ActSage.exe " [16:09 2009-02-24: 14 393216] caixa rápida da busca do
" Google " = de " caixa da busca C:\Program Files\Google\Quick \ GoogleQuickSearchBox.exe " [13:45 2009-05-27: 19 68592]
" AppleSyncNotifier " = de " limas do ogram C:\Pr \ limas comuns \ Apple \ sustentação \ escaninho \ AppleSyncNotifier.exe dispositivo móvel " [20:51 2009-08-13: 42 177440] tarefa do
" QuickTime " = de " C:\Program Files\QuickTime\qttask.exe " [04:08 2009-11-11: 18 417792]
" iTunesHelper " = de " limas do C:\Program \ iTunes \ iTunesHelper.exe " [23:07 2010-02-15: 02 141608]
" KMCONFIG " = de " excitador C:\Program Files\iHome\Mouse \ StartAutorun.exe " [06:22 2008-05-30: 32 212992]
da " camada de abstração semente e de ferragem " = " KHALMNPR.EXE " [18:46 2008-10-10: 26 69632] o
" STFWebFormApp " = de " limas do m C:\Progra \ limas comuns \ STF presta serviços de manutenção compartilhado \ WebFormApp.exe " [19:10 2010-04-08: 34 85128] lançador da velocidade do leitor do
" Adobe " = " C:\Program Files\Adobe\Reader 9.0 \ leitor \ Reader_sl.exe " [05:42 2010-04-04: 51 36272] BRAÇO do
" Adobe " = de " limas C:\Program Files\Common \ Adobe \ BRAÇO \ 1.0 \ AdobeARM.exe " [18:17 2010-03-24: 52 952768] usuários do

C:\Documents and Settings\All \ menu do começo \ programas \ detetor 3.lnk da partida \
Device - or de C:\Program Files\Olympus\DeviceDetect \
Directrec de DevDtct2.exe [2009-2-5 163840] configuração Tool.lnk - or de C:\Program Files\Olympus\DeviceDetect \
Logitech SetPoint.lnk de DirectrecConfig.exe [2009-2-5 167936] -
MultiMon Taskbar.lnk do tPoint.exe de C:\Program Files\Logitech\SetPoint\Se [2010-3-25 809488] -
Windows Search.lnk do xe de C:\Program Files\MMTaskbar\MultiMon.e [2008-9-15 294912] -
" HideLogonScripts " do

da busca de C:\Program Files\Windows \ WindowsSearch.exe [2008-5-26 123904] [HKEY_CURRENT_USER \ software \ microsoft \ janelas \ currentversion \ policies \ system] = 0

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} “= de “busca Desktop C:\Program Files\Windows \ MSNLNamespaceMgr.dll” [02:41 2009-05-25: 34 304128] 20:41 do
2008-11-07 do

[HKEY_LOCAL_MACHINE \ software \ microsoft \ NT do windows \ currentversion \ winlogon \ notificam \ LBTWlgn]: 22 72208      ----limas do a-w- c:\Program Files\Common \ \ \ \ system32 \ sessmgr.exe " =
" C:\ do
" %windir% do

do ""
@= de Logishrd \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup] [HKLM \ ~ \ serviços \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List] \ \ de WINDOWS \ \ SMINST \ Scheduler.exe " =
" %windir% \ \ \ diagnóstico da rede \ xpnetdiag.exe " =
" C:\ \ limas de programa \ \ \ de Microsoft Office \Office12 \ \ OUTLOOK.EXE do "
" 65533 =

[HKLM \ ~ \ serviços \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ lista]: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: Desktop

R1 Mtxparmx; Mtxparmx; WS \ system32 \ excitadores de C:\WINDO \ mtxparmx.sys [9/12/2008 de 8:22: 20
R2 KMWDSERVICE DO AM 5504]; Serviço de comunicação do teclado e do rato; excitador de C:\Program Files\iHome\Mouse \ KMWDSrv.exe [6/23/2008 de 10:28: 08
R2 LBeepKE do PM 208896]; LBeepKE; \ system32 \ drivers \ LBeepKE.sys de C:\WINDOWS [3/25/2010 de 11:33: 37
R2 Matrox do AM 10384] que centra o serviço; Matrox que centra o serviço; gráficos Inc \ PowerDesk \ serviços de C:\Program Files\Matrox \ Matrox.PowerDesk. Services.exe [6/11/2008 de 4:29: 26
R2 Matrox.Pdesk.ServicesHost do PM 586760]; Matrox.Pdesk. ServicesHost; limas do rogram de C:\P \ de gráficos Inc \ PowerDesk de Matrox SE \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 de 4:33: 38
R2 MSSQL$ACT7 DO PM 189448]; Usuário do SQL (ACT7); usuário de C:\Program Files\Microsoft SQL \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 de 3:27: 04 pdfcDispatcher do
R2 do AM 29262680]; Gerente do original do pdf; C:\Program Files\PDF completo \ pdfsvc.exe [5/27/2008 de 5:19: 14
R3 MTXPAR DO AM 576024]; MTXPAR; ystem32 \ drivers \ MTXPARM.sys de C:\WINDOWS\s [9/12/2008 de 8:22: 20 ATO DO
S2 DO AM 1485568]! Planificador; ATO! Planificador; C:\Program Files\ACT\Act para Windows \ Act.Scheduler.exe [2/24/2009 de 12:08: 50
S2 gupdate1c9960193c6b225 do PM 81920]; Serviço da atualização de Google (gupdate1c9960193c6b225); C: \ Limas de programa \ Google \ atualização \ GoogleUpdate.exe [2/23/2009 de 5:56: 27
S2 TSScheduleBackup do PM 133104]; TimeslipsBackup; WINDOWS \ system32 \ TSSchBkpService.exe de C:\ [9/15/2008 de 12:47: 43
.
Contents do PM 705024] “da atualização de software do wareUpdate.job
- C:\Program Files\Apple do folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft das tarefas programadas” \ SoftwareUpdate.exe [16:34 2008-07-30: 12. 2008-07-30 16:34: 12] Updater \ GoogleUpdaterService.exe do software Updater.job
- C:\Program Files\Google\Common\Google do

2010-06-17 C:\WINDOWS\Tasks\Google [21:56 2009-02-23: 01. 2009-03-24 14:54: 17] Update.exe do ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google do

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd [21:56 2009-02-23: 27. 2009-02-23 21:56: 24] Update.exe do ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google do

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd [21:56 2009-02-23: 27. 2009-02-23 21:56: 24]
.
.
------- Varredura suplementar -------página = hxxp do
.
uStart: ajustes de //my.yahoo.com/
uInternet, ProxyOverride = *.local
IE: busca da barra de ferramentas do &AOL - usuários de C:\Documents and Settings\All \ dados de aplicação \ AOL \ ieToolbar \ resources \ E.U. \ local \ search.html
IE: E&xport a Microsoft Excel - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - ÓRFÃO REMOVEU - - - - o

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \ o

catchme 0.3.1398 W2K/XP/Vista do ******** do do ********** do do ********** do do ********** do do ********** do ************************** do leitor \ AdobeUpdateManager.exe



- detetor do malware do rootkit/discrição por Gmer, rel= " nofollow " do” _blank”” do target= de " http://www.gmer.net do href= do 15:00 da varredura 2010-06-17 de http://www.gmer.net
Rootkit: 42
Windows 5.1.2600 Service Pack 3 NTFS

scanning escondido processa… limas terminadas/>scan escondidas escondidas/>scanning do successfully
hidden do


scanning das entradas do arranque automático do

Stealth MBR rootkit/Mebroot/Sinowal do ******** do do ********** do do ********** do do ********** do do ********** do do ************************** de 0

por Gmer, rel= " nofollow " do” _blank”” do target= de " http://www.gmer.net do href= do http://www.gmer.net

device: successfully
user: MBR leu os módulos do successfully
called: >>UNKNOWN de ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll [0x8983C78A] <<
kernel: MBR leu os ganchos do rootkit do successfully
detected MBR:
\ excitador \ disco - > CLASSPNP.SYS @ 0xba0ecf28
\ excitador \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ excitador \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ dispositivo \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168C (P)/8111C (P) o NIC do Ethernet do gigabit de PCI-E - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy de MBR foi encontrado no setor 0x03A380D83 do código do
malicious do setor 0x03A380D80 @! a lima do
PE encontrou no setor em 0x03A380D99! infeção do rootkit do
MBR detetada! Uso: “mbr.exe - f” ao
" ImagePath " = " C:\Program Files\PDF do

do ******** do do ********** do do ********** do do ********** do do ********** do do ************************** de fix.

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher] completo \ pdfsvc.exe /startedbyscm: 66B66708-40E.
de/>2BE4D-pdfcService "--------------------- DLLs carregou sob processos Running ---------------------

- - - - - - - > o
c:\program files\common de “winlogon.exe” (716) arquiva \ logishrd \ bluetooth \ limas de LBTWlgn.dll
c:\program files\common \ logishrd \ bluetooth \ LBTServ.dll

- - - - - - - > tempo do
.
Completion do
C:\Program Files\Bonjour\mdnsNSP.dll de “lsass.exe” (772): 2010-06-17 15:02: 19:02 de 08
ComboFix-quarantined-files.txt 2010-06-17: 06

Pre-Run: free
Post-Run de 464.428.068.864 bytes: 464.632.573.952 partition do rdisk do disco do
timeout=2
default=multi do free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
dos bytes [carregador de carregador] (0) (0) 0) ((1) \
C:\CMDCONS\BOOTSECT.DAT de WINDOWS
[sistemas de exploração] = de " partition do rdisk do disco do
multi de /cmdcons do console da recuperação Microsoft Windows” (0) (0) 0) ((1) \

- de /fastdetect =optin do WINDOWS= " Microsoft Windows Xp” /noexecute - extremidade de lima - - 8C319282DDFBE1A4552469747AD1DA29
class= do

Resposta : Removendo Rootkit.Agent no registro de Windows Xp SP3 ComboFix unido

Benefícios da distribuição de rede
------------------------------

    * Construir e desdobrar serviços da aplicação rapidamente e facilmente
    * Funcionar serviços no ambiente o mais seguro, o mais evolutivo, highly-available
    * Reúso recursos do software e estender seu alcance
    * Controlar aplicações effortlessly
    * Crescer como as necessidades evoluem, leveraging recursos do núcleo e habilidades
    * A distribuição de rede do servidor de aplicações de WebSphere entrega a infra-estrutura que segura, evolutiva, highly-available da aplicação você precisa para SOA.
    * Funções realçadas dos serveices da correia fotorreceptora

Que nós podemos fazer com distribuição de rede?
----------------------------------------

O tema principal com deoplyment da rede é aplicações distribuídas. Quando o fluxo de uma aplicação permanecer o mesmo, há umas adições signigicant ao tempo de execução de uma aplicação.


1) Distribuição de rede. Esta versão suporta a distribuição de uma configuração da pilha com sustentação do conjunto e do failover de J2EE. Agora igualmente inclui os componentes da borda, conhecidos previamente como o usuário da borda. Isto fornece um proxy server, a carga que balançam, e o roteamento índice-baseado.

2) A distribuição de rede do servidor de aplicações de IBM WebSphere fornece a funcionalidade administrativa para desdobrar e promover seu código de aplicação a todos os nós em seu conjunto do servidor de aplicações.

ERA O ND fornece a flexibilidade espalhando suas aplicações através das pilhas, dos nós, e dos servidores de aplicações

ERA O ND permite muitos nós, com os servidores de aplicações múltiplos em cada nó e aplicações múltiplas em cada usuário.

3) sustentação da aglomeração e do failover

4) o web server de encaixe-em sustentações tornou mais pesada a gerência da carga de trabalho


Conceitos da distribuição de rede?
---------------------------

O ânodo é um agrupamento lógico do servidor de aplicações

-- cada nó é controlado por um único processo nodeagent
-- os nós do mutiple podem existir na única máquina com o uso dos perfis

Um processo do gerente da distribuição (dmgr) controla os nodeagents
-- mantem a configuração respoitory para o domínio de gerência inteiro, chamado uma pilha

-- dentro de uma pilha o console administrativo funciona dentro do dmgr using este console que você pode controlar todos os nós em uma pilha.

-- Todas as atualizações às limas de configuração devem dirigir o gerente da distribuição.