Вопрос : Извлекающ Rootkit.Agent на прикрепленном журнале Windows XP SP3 ComboFix

Я имею машину XPP с RootKit.Agent на ем обнаружил MalwareBytes.  Iий судимое пук времен получить освобождало с MWB но никакого успеха.  Побежал ComboFix и здесь будет журналом.  Он обнаружил крюки RootKit MBR но я не уверен как зафиксировать его.  Все мысли? журнал

ComboFix:

ComboFix 10-06-17.01 - 14:45 ed 06/17/2010: 42.1.2 -
Running профессионала 5.1.2600.3.1252.1.1033.18.3071.2680 x86
Microsoftа Windows XP [-4:00 GMT] от:
.

C:\New Folder\ComboFix.exe (((((((((((((((((((((((((( (((((((((( (((другие пропускания)))))))))))))))))))))))))))))))))))))))))))))))))

.
m
D:\Autorun.inf
.

C:\WINDOWS\system32\win.co (((((((((((((((((((((((((архивы созданные от от 2010-05-17 до 2010-06-17)))))))))))))))))))))))))))))))18:06
.

2010-06-17: 21. 2010-06-17 18:06: 21 27140      ---18:03 he.dat
2010-06-17 C:\WINDOWS\system32\mlfcac ha-w-: 54. 2010-06-17 18:30: 40 664      ----16:24 ps.dat
2010-06-17 a-w- C:\WINDOWS\system32\d3d9ca: 04. 2010-04-29 19:39: 38 38224      ----s a-w- C:\WINDOWS\system32\driver \ 16:24 mbamswissarmy.sys
2010-06-17: 02. 2010-04-29 19:39: 26 20952      ----s a-w- C:\WINDOWS\system32\driver \ 16:17 mbam.sys
2010-06-17: 24. 2010-06-17 16:17: 24      --------      d-----16:14 данным по \ TeamViewer
2010-06-17 w- C:\Documents and Settings\ed\Application: 35. 2010-06-17 16:14: 35      --------      d-----установки w- C:\Documents and Settings\ed\Local \ данные по \ PCHealth
2010-06-17 применения 16:02: 26. 2010-06-17 16:03: 24      --------      d-----установки l w- C:\Documents and Settings\LocalService\Loca \ данные по \ Temp
2010-06-17 применения 16:00: 59. 2010-06-17 16:00: 59      --------      d-----20:19 epository
2010-06-16 w- C:\WINDOWS\system32\wbem\R: 09. 2010-06-16 20:19: 09      --------      d-----19:51
2010-06-16 w- C:\Program Files\Sophos: 50. 2010-06-17 15:58: 17      --------      d-----19:44 _rpcs
2010-06-16 w- C:\Documents and Settings\HelpAssistant\: 24. 2009-11-11 18:00: 27      --------      d-----19:44 ldCache
2010-06-16 w- C:\Documents and Settings\HelpAssistant\IET: 23. 2010-06-17 15:58: 26      --------      d-s---19:38
2010-06-16 w- C:\Documents and Settings\HelpAssistant: 52. 2010-06-16 19:38: 52      --------      d-----19:38 данным по \ Malwarebytes
2010-06-16 w- C:\Documents and Settings\ed\Application: 43. 2010-06-16 19:38: 43      --------      d-----потребители w- C:\Documents and Settings\All \ данные по \ Malwarebytes
2010-06-16 применения 19:38: 42. 2010-06-17 16:24: 06      --------      d-----w- C:\Program Files\Malwarebytes ' Анти--Malware

.
(((((((((((((((((((((((((( (((((((((( ((((отчет о Find3M))))))))))))))))))))))))))))))))))))))))))))))))))))17:55
.
2010-06-17: 20. 2009-10-19 16:37: 42      --------      d-----16:02 данным по \ Apple Computer
2010-06-17 w- C:\Documents and Settings\ed\Application: 35. 2009-02-23 21:56: 03      --------      d-----потребители w- C:\Documents and Settings\All \ данные по \ Google Updater
2010-06-10 применения 20:47: 58. 2008-09-12 13:09: 28      --------      d-----потребители w- C:\Documents and Settings\All \ данные по \ Майкрософт Help
2010-06-01 применения 12:29: 28. 2008-11-12 14:56: 58 1682      --потребители sha-w- C:\Documents and Settings\All \ 12:29 данным по применения \ KGyGaAvL.sys
2010-06-01: 28. 2008-11-12 14:56: 58 1682      --потребители sha-w- C:\Documents and Settings\All \ 14:39 данным по применения \ KGyGaAvL.sys
2010-05-26: 08. 2010-06-16 20:19: 38 6144      ------14:39
2010-05-26 w- C:\WINDOWS\system32\5.tmp: 08. 2010-06-16 20:19: 27 6144      ------14:39
2010-05-26 w- C:\WINDOWS\system32\4.tmp: 08. 2010-06-16 20:19: 15 6144      ------13:23
2010-05-24 w- C:\WINDOWS\system32\3.tmp: 06. 2009-02-23 21:56: 01      --------      d-----12:27
2010-05-10 w- C:\Program Files\Google: 32. 2008-09-25 18:42: 19      --------      d-----18:17 архивов \ Adobe
2010-03-24 w- C:\Program Files\Common: 47. 2010-03-24 08:04: 49 952768      ----потребители a-w- C:\Documents and Settings\All \ данные по применения \ Adobe \ читатель \ 9.2 \ 18:17 уточнения РУКОЯТКИ \ ARM \ AdobeARM.exe
2010-03-24: 47. 2010-03-24 08:04: 49 70584      ----потребители a-w- C:\Documents and Settings\All \ данные по применения \ Adobe \ читатель \ 9.2 \ 18:17 уточнения РУКОЯТКИ \ ARM \ AdobeExtractFiles.dll
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----потребители a-w- C:\Documents and Settings\All \ данные по применения \ Adobe \ читатель \ 9.2 \ 18:17 уточнения РУКОЯТКИ \ ARM \ ReaderUpdater.exe
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----потребители a-w- C:\Documents and Settings\All \ данные по применения \ Adobe \ читатель \ 9.2 \ уточнение РУКОЯТКИ \ ARM \ AcrobatUpdater.exe
.

(((((((((((((((((((((((((( (((((((((( (пункты нагрузки Reg))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* опорожняет входы & не показывают входам невыполнения обязательства legit
" TSTimer " = " e
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ побежали] C:\Program Files\Timeslips\TSTimer.ex " [22:28 2006-06-15: 34 2429992]
" swg " = " Notifier \ GoogleToolbarNotifier.exe C:\Program Files\Google\GoogleToolbar " [21:56 2009-02-23: 03 39408]
" IgfxTray " = " tem32 \ igfxtray.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ побежали] C:\WINDOWS\sys " [15:08 2007-11-26: 42 141848]
" HotKeysCmds " = " system32 \ hkcmd.exe C:\WINDOWS\ " [15:08 2007-11-26: 24 166424]
" персистирование " = " system32 \ igfxpers.exe C:\WINDOWS\ " [15:08 2007-11-26: 36 137752]
" PDF вполне " = " C:\Program Files\PDF вполне \ pdfsty.exe " [14:10 2008-04-07: 52 318488]
" SetRefresh " = " tRefresh.exe C:\Program Files\Compaq\SetRefresh\Se " [19:01 2003-11-20: 08 525824]
" Recguard " = " nst \ Recguard.exe C:\WINDOWS\Smi " [19:50 2006-05-12: 16 1138688]
" памятка " = " ator \ Remind_XP.exe C:\WINDOWS\Cre " [21:44 2006-03-31: 26 761856]
" Scheduler " = " INST \ Scheduler.exe C:\WINDOWS\SM " [17:53 2006-07-10: 08 872448] SE
" Matrox PowerDesk " = " графики Inc \ PowerDesk c:\Program Files\Matrox SE \ Matrox.PowerDesk SE.exe " [20:33 2008-06-11: 38 2630664]
" Act.Outlook.Service " = " архивы Program C:\ \ ПОСТУПОК \ поступок для Windows \ Act.Outlook.Service.exe " [16:08 2009-02-24: 48 28672] поступок
"! Preloader " = " C:\Program Files\ACT\Act для Windows \ ActSage.exe " [16:09 2009-02-24: 14 393216] коробка поиска
" Google быстро " = " коробка поиска C:\Program Files\Google\Quick \ GoogleQuickSearchBox.exe " [13:45 2009-05-27: 19 68592]
" AppleSyncNotifier " = " архивы ogram C:\Pr \ обычный архивы \ Apple \ поддержка \ ящик \ AppleSyncNotifier.exe мобильного устройства " [20:51 2009-08-13: 42 177440] задача
" QuickTime " = " C:\Program Files\QuickTime\qttask.exe " [04:08 2009-11-11: 18 417792]
" iTunesHelper " = " архивы C:\Program \ iTunes \ iTunesHelper.exe " [23:07 2010-02-15: 02 141608]
" KMCONFIG " = " водитель C:\Program Files\iHome\Mouse \ StartAutorun.exe " [06:22 2008-05-30: 32 212992]
" слой абстракции стерженя и оборудования " = " KHALMNPR.EXE " [18:46 2008-10-10: 26 69632]
" STFWebFormApp " = " архивы m C:\Progra \ обычный архивы \ STF обслуживает после того как оно поделено \ WebFormApp.exe " [19:10 2010-04-08: 34 85128] пусковая установка скорости читателя
" Adobe " = " C:\Program Files\Adobe\Reader 9.0 \ читатель \ Reader_sl.exe " [05:42 2010-04-04: 51 36272] РУКОЯТКА
" Adobe " = " архивы C:\Program Files\Common \ Adobe \ РУКОЯТКА \ 1.0 \ AdobeARM.exe " [18:17 2010-03-24: 52 952768] потребителя

C:\Documents and Settings\All \ меню старта \ программы \ детектор 3.lnk запуска \
Device - or C:\Program Files\Olympus\DeviceDetect \
Directrec DevDtct2.exe [2009-2-5 163840] конфигурация Tool.lnk - or C:\Program Files\Olympus\DeviceDetect \
Logitech SetPoint.lnk DirectrecConfig.exe [2009-2-5 167936] -
MultiMon Taskbar.lnk tPoint.exe C:\Program Files\Logitech\SetPoint\Se [2010-3-25 809488] -
Windows Search.lnk xe C:\Program Files\MMTaskbar\MultiMon.e [2008-9-15 294912] -
" HideLogonScripts "

поиска C:\Program Files\Windows Desktop \ WindowsSearch.exe [2008-5-26 123904] [HKEY_CURRENT_USER \ software \ microsoft \ окон \ currentversion \ policies \ system] = 0

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} «= «поиск C:\Program Files\Windows Desktop \ MSNLNamespaceMgr.dll» [02:41 2009-05-25: 34 304128] 20:41
2008-11-07

[HKEY_LOCAL_MACHINE \ software \ microsoft \ nt windows \ currentversion \ winlogon \ сообщают \ LBTWlgn]: 22 72208      ----архивы a-w- c:\Program Files\Common \ \ \ \ system32 \ sessmgr.exe " =
" C:\
" %windir%

""
@= Logishrd \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup] [HKLM \ ~ \ обслуживаний \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List] \ \ WINDOWS \ \ SMINST \ Scheduler.exe " =
" %windir% \ \ \ сети диагностическое \ xpnetdiag.exe " =
" C:\ \ архивы программы \ \ \ офиса Майкрософт \Office12 \ \ OUTLOOK.EXE "
" 65533 =

[HKLM \ ~ \ обслуживаний \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ списка]: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: Дистанционное Desktop

R1 Mtxparmx; Mtxparmx; WS \ system32 \ водители C:\WINDO \ mtxparmx.sys [9/12/2008 8:22: 20
R2 KMWDSERVICE AM 5504]; Служба связи клавиатуры и мыши; водитель C:\Program Files\iHome\Mouse \ KMWDSrv.exe [6/23/2008 10:28: 08
R2 LBeepKE PM 208896]; LBeepKE; \ system32 \ drivers \ LBeepKE.sys C:\WINDOWS [3/25/2010 11:33: 37
R2 Matrox AM 10384] центризуя обслуживание; Matrox центризуя обслуживание; графики Inc \ PowerDesk \ обслуживания C:\Program Files\Matrox \ Matrox.PowerDesk. Services.exe [6/11/2008 4:29: 26
R2 Matrox.Pdesk.ServicesHost PM 586760]; Matrox.Pdesk. ServicesHost; архивы rogram C:\P \ графики Inc \ PowerDesk Matrox SE \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 4:33: 38
R2 MSSQL$ACT7 PM 189448]; Сервер SQL (ACT7); сервер C:\Program Files\Microsoft SQL \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 3:27: 04 pdfcDispatcher
R2 AM 29262680]; Менеджер документа PDF; C:\Program Files\PDF вполне \ pdfsvc.exe [5/27/2008 5:19: 14
R3 MTXPAR AM 576024]; MTXPAR; ystem32 \ drivers \ MTXPARM.sys C:\WINDOWS\s [9/12/2008 8:22: 20 ПОСТУПОК
S2 AM 1485568]! Scheduler; ПОСТУПОК! Scheduler; C:\Program Files\ACT\Act для Windows \ Act.Scheduler.exe [2/24/2009 12:08: 50
S2 gupdate1c9960193c6b225 PM 81920]; Обслуживание уточнения Google (gupdate1c9960193c6b225); C: \ Архивы программы \ Google \ уточнение \ GoogleUpdate.exe [2/23/2009 5:56: 27
S2 TSScheduleBackup PM 133104]; TimeslipsBackup; WINDOWS \ system32 \ TSSchBkpService.exe C:\ [9/15/2008 12:47: 43
.
Contents PM 705024] «актуализации программного обеспечения wareUpdate.job
- C:\Program Files\Apple folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft запланированных задач» \ SoftwareUpdate.exe [16:34 2008-07-30: 12. 2008-07-30 16:34: 12] Updater \ GoogleUpdaterService.exe средства программирования Updater.job
- C:\Program Files\Google\Common\Google

2010-06-17 C:\WINDOWS\Tasks\Google [21:56 2009-02-23: 01. 2009-03-24 14:54: 17] Update.exe ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd [21:56 2009-02-23: 27. 2009-02-23 21:56: 24] Update.exe ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd [21:56 2009-02-23: 27. 2009-02-23 21:56: 24]
.
.
------- Дополнительная развертка -------страница = hxxp
.
uStart: установки //my.yahoo.com/
uInternet, ProxyOverride = *.local
IE: поиск панели инструментов &AOL - потребители C:\Documents and Settings\All \ данные по применения \ AOL \ ieToolbar \ resources \ en-США \ local \ search.html
IE: E&xport к Мичрософт Ехчел - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - СИРОТЫ ИЗВЛЕКЛО - - - -

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \

catchme 0.3.1398 W2K/XP/Vista ******** ********** ********** ********** ********** ************************** читателя \ AdobeUpdateManager.exe



- детектор malware rootkit/скрытности Gmer, rel= " nofollow "» _blank»» target= " http://www.gmer.net href= 15:00 развертки 2010-06-17 http://www.gmer.net
Rootkit: пакет услуг 3 спрятанное NTFS

scanning 42
Windows 5.1.2600 обрабатывает… архивы successfully
hidden


scanning входов autostart

scanning… спрятанные… завершенные/>scan: детектор 0.3.7

Stealth MBR rootkit/Mebroot/Sinowal ******** ********** ********** ********** ********** ************************** 0

Gmer, rel= " nofollow "» _blank»» target= " http://www.gmer.net href= http://www.gmer.net

device: раскрынное successfully
user: MBR прочитало модули successfully
called: >>UNKNOWN ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll [0x8983C78A] <<
kernel: MBR прочитало крюки rootkit successfully
detected MBR:
\ водитель \ диск - > CLASSPNP.SYS @ 0xba0ecf28
\ водитель \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ водитель \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ приспособление \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: NIC локальных сетей гигабита Realtek RTL8168C (p) /8111C (p) PCI-E - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy MBR был в участке 0x03A380D83 Кодего
malicious участка 0x03A380D80 @! архив
PE нашел в участке на 0x03A380D99! обнаруженная инфекция rootkit
MBR! Польза: «mbr.exe - f» к
" ImagePath " = " C:\Program Files\PDF

******** ********** ********** ********** ********** ************************** fix.

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher] вполне \ pdfsvc.exe /startedbyscm: 66B66708-40E.
/>2BE4D-pdfcService "--------------------- DLLs нагрузило под идущими процессами ---------------------

- - - - - - - >
c:\program files\common «winlogon.exe» (716) хранит \ logishrd \ bluetooth \ архивы LBTWlgn.dll
c:\program files\common \ logishrd \ bluetooth \ LBTServ.dll

- - - - - - - > время
.
Completion
C:\Program Files\Bonjour\mdnsNSP.dll «lsass.exe» (772): 2010-06-17 15:02: 19:02 08
ComboFix-quarantined-files.txt 2010-06-17: 06

Pre-Run: free
Post-Run 464.428.068.864 байт: 464.632.573.952 partition rdisk диска
timeout=2
default=multi free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
байт [затяжелителя ботинка] (0) (0) 0) ((
C:\CMDCONS\BOOTSECT.DAT 1) \ WINDOWS
[операционные системы] = " partition rdisk диска
multi /cmdcons пульта спасения Microsoft Windows» (0) (0) 0) ((

- /fastdetect =optin 1) \ WINDOWS= " Microsoft Windows XP профессиональное» /noexecute - конец файла - - 8C319282DDFBE1A4552469747AD1DA29
class=

Ответ : Извлекающ Rootkit.Agent на прикрепленном журнале Windows XP SP3 ComboFix

Преимущества раскрытия сети
------------------------------

    * Построьте и раскройте обслуживания применения быстро и легк
    * Побегите обслуживания в самой безопасной, самой масштабируемой, highly-available окружающей среде
    * Повторно используйте имущества средства программирования и продлите их достигаемость
    * Управляйте применениями effortlessly
    * Вырастите как потребности эволюционируют, leveraging имущества сердечника и искусства
    * Раскрытие сети сервера программных приложений WebSphere поставляет безопасную, масштабируемую, highly-available инфраструктуру применения, котор вам для SOA.
    * Увеличенные функции serveices стержня

Мы можем сделать с раскрытием сети?
----------------------------------------

Главным образом темой с deoplyment сети будет распределенные применения. Пока подача применения остает этим же, будут signigicant добавления к продолжительности времени применения.


1) Раскрытие сети. Этот вариант поддерживает раскрытие конфигурации клетки с поддержкой группы и failover J2EE. Он теперь также вклюает компоненты края, ранее известные как сервер края. Это обеспечивает сервера полномочия, нагрузки балансируя, и содержани-основанной трассы.

2) Раскрытие сети сервера программных приложений IBM WebSphere обеспечивает управленческую функциональность для того чтобы раскрыть и повысить ваше Кодего применения к всем узлам в вашей группе сервера программных приложений.

БЫЛ ND обеспечивает гибкость для распространять ваши применения через клетки, узлы, и серверы программных приложений

БЫЛ ND позволяет для много узлов, с множественными серверами программных приложений на каждых узле и множественных применениях в каждом сервере.

3) поддержка связывать и failover

4) webserver вставляем-в поддержках утяжелил управление рабочей нагрузки


Принципиальные схемы раскрытия сети?
---------------------------

Анод логически группой в составе сервер программных приложений

-- каждый узел управляется одиночным nodeagent процессом
-- узлы mutiple могут существовать на одиночной машине через пользу профилей

Процесс менеджера раскрытия (dmgr) управляет nodeagents
-- держит конфигурацию respoitory для всего домена управления, вызвано клеткой

-- внутри клетка управленческий пульт бежит внутри dmgr using этот пульт, котор вы можете управлять всеми узлами в клетке.

-- Все уточнения к архивам конфигурации должны пойти через менеджер раскрытия.