Fråga : Ta bort Rootkit.Agent på Windows Xp SP3 ComboFix logga fäst

Jag har en XPP att bearbeta med maskin med RootKit.Agent på den avkände vid MalwareBytes.  Jag försökte en grupp av tider att få rid av med MWB men ingen framgång.  Körde ComboFix och är här logga.  Den avkände RootKit MBR hakar men I-förmiddagen inte sure hur man fixar den.  Några tankar?

ComboFix loggar:

ComboFix 10-06-17.01 - 14:45 för ed 06/17/2010: 42.1.2 - för x86
yrkesmässig 5.1.2600.3.1252.1.1033.18.3071.2680 [GMT--4:00]
Running för Microsoft Windows XP från: C:\New Folder\ComboFix.exe
.

(((((((((((((((((((((((((( (((((((((( (((andra raderingar)))))))))))))))))))))))))))))))))))))))))))))))))

.
för m
D:\Autorun.inf för
.

C:\WINDOWS\system32\win.co (((((((((((((((((((((((((sparar skapad från 2010-05-17 till 2010-06-17),))))))))))))))))))))))))))))))18:06 för
.

2010-06-17: 21. 2010-06-17 18:06: 21 27140      ---18:03 för ha-w-C:\WINDOWS\system32\mlfcac he.dat
2010-06-17: 54. 2010-06-17 18:30: 40 664      ----16:24 för ps.dat
2010-06-17 för a-w- C:\WINDOWS\system32\d3d9ca: 04. 2010-04-29 19:39: 38 38224      ----s för a-w- C:\WINDOWS\system32\driver \ 16:24 för mbamswissarmy.sys
2010-06-17: 02. 2010-04-29 19:39: 26 20952      ----s för a-w- C:\WINDOWS\system32\driver \ 16:17 för mbam.sys
2010-06-17: 24. 2010-06-17 16:17: 24      --------      D-----data- \ TeamViewer
2010-06-17 för w- C:\Documents and Settings\ed\Application 16:14: 35. 2010-06-17 16:14: 35      --------      D-----inställningar för w- C:\Documents and Settings\ed\Local \ 16:02 för applikationdata \ PCHealth
2010-06-17: 26. 2010-06-17 16:03: 24      --------      D-----inställningar för l för w- C:\Documents and Settings\LocalService\Loca \ 16:00 för applikationdata \ Temp
2010-06-17: 59. 2010-06-17 16:00: 59      --------      D-----20:19 för epository
2010-06-16 för w- C:\WINDOWS\system32\wbem\R: 09. 2010-06-16 20:19: 09      --------      D-----19:51 för
2010-06-16 för w- C:\Program Files\Sophos: 50. 2010-06-17 15:58: 17      --------      D-----19:44 för _rpcs
2010-06-16 för w- C:\Documents and Settings\HelpAssistant\: 24. 2009-11-11 18:00: 27      --------      D-----19:44 för ldCache
2010-06-16 för w- C:\Documents and Settings\HelpAssistant\IET: 23. 2010-06-17 15:58: 26      --------      d-s---19:38 för
2010-06-16 för w- C:\Documents and Settings\HelpAssistant: 52. 2010-06-16 19:38: 52      --------      D-----data- \ Malwarebytes
2010-06-16 för w- C:\Documents and Settings\ed\Application 19:38: 43. 2010-06-16 19:38: 43      --------      D-----användare för w- C:\Documents and Settings\All \ 19:38 för applikationdata \ Malwarebytes
2010-06-16: 42. 2010-06-17 16:24: 06      --------      D-----w- C:\Program Files\Malwarebytes ' anti-Malware

.
(((((((((((((((((((((((((( (((((((((( ((((Find3M-rapporten))))))))))))))))))))))))))))))))))))))))))))))))))))17:55 för
.
2010-06-17: 20. 2009-10-19 16:37: 42      --------      D-----data- \ Apple Computer
2010-06-17 för w- C:\Documents and Settings\ed\Application 16:02: 35. 2009-02-23 21:56: 03      --------      D-----användare för w- C:\Documents and Settings\All \ 20:47 för applikationdata \ Google Updater
2010-06-10: 58. 2008-09-12 13:09: 28      --------      D-----användare för w- C:\Documents and Settings\All \ 12:29 för applikationdata \ Microsoft Help
2010-06-01: 28. 2008-11-12 14:56: 58 1682      --sha-w- C:\Documents and Settings\All användare \ 12:29 för applikationdata \ KGyGaAvL.sys
2010-06-01: 28. 2008-11-12 14:56: 58 1682      --sha-w- C:\Documents and Settings\All användare \ 14:39 för applikationdata \ KGyGaAvL.sys
2010-05-26: 08. 2010-06-16 20:19: 38 6144      ------14:39 för
2010-05-26 för w- C:\WINDOWS\system32\5.tmp: 08. 2010-06-16 20:19: 27 6144      ------14:39 för
2010-05-26 för w- C:\WINDOWS\system32\4.tmp: 08. 2010-06-16 20:19: 15 6144      ------13:23 för
2010-05-24 för w- C:\WINDOWS\system32\3.tmp: 06. 2009-02-23 21:56: 01      --------      D-----12:27 för
2010-05-10 för w- C:\Program Files\Google: 32. 2008-09-25 18:42: 19      --------      D-----w- C:\Program Files\Common sparar \ Adobe
2010-03-24 18:17: 47. 2010-03-24 08:04: 49 952768      ----användare för a-w- C:\Documents and Settings\All \ applikationdata \ Adobe \ avläsare \ 9.2 \ BEVÄPNAR \ 18:17 för uppdatering för ARM \ AdobeARM.exe
2010-03-24: 47. 2010-03-24 08:04: 49 70584      ----användare för a-w- C:\Documents and Settings\All \ applikationdata \ Adobe \ avläsare \ 9.2 \ BEVÄPNAR \ 18:17 för uppdatering för ARM \ AdobeExtractFiles.dll
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----användare för a-w- C:\Documents and Settings\All \ applikationdata \ Adobe \ avläsare \ 9.2 \ BEVÄPNAR \ 18:17 för uppdatering för ARM \ ReaderUpdater.exe
2010-03-24: 47. 2010-03-24 08:04: 49 326056      ----användare för a-w- C:\Documents and Settings\All \ applikationdata \ Adobe \ avläsare \ 9.2 \ BEVÄPNAR \ uppdateringen för ARM \ AcrobatUpdater.exe
.

(((((((((((((((((((((((((( (((((((((( (att ladda för Reg pekar),))))))))))))))))))))))))),))))))))))))))))))))))))
.
.
*Note* tömmer tillträden, & legitstandardtillträden visas inte
" TSTimer " = " C:\Program Files\Timeslips\TSTimer.ex e " för
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ kört] [22:28 2006-06-15: 34 2429992]
" swg " = " C:\Program Files\Google\GoogleToolbar Notifier \ GoogleToolbarNotifier.exe " [21:56 2009-02-23: 03 39408]
" IgfxTray " = " C:\WINDOWS\sys tem32 \ igfxtray.exe " för

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ kört] [15:08 2007-11-26: 42 141848]
" HotKeysCmds " = " C:\WINDOWS\ system32 \ hkcmd.exe " [15:08 2007-11-26: 24 166424]
" ståndaktighet " = " C:\WINDOWS\ system32 \ igfxpers.exe " [15:08 2007-11-26: 36 137752] färdig " = " färdiga \ pdfsty.exe C:\Program Files\PDF
" PDF " [14:10 2008-04-07: 52 318488]
" SetRefresh " = " C:\Program Files\Compaq\SetRefresh\Se tRefresh.exe " [19:01 2003-11-20: 08 525824]
" Recguard " = " C:\WINDOWS\Smi nst \ Recguard.exe " [19:50 2006-05-12: 16 1138688]
" påminnelse " = " C:\WINDOWS\Cre ator \ Remind_XP.exe " [21:44 2006-03-31: 26 761856]
" Scheduler " = " C:\WINDOWS\SM INST \ Scheduler.exe " [17:53 2006-07-10: 08 872448] SE för
" Matrox PowerDesk " = " SE för c:\Program Files\Matrox diagram Inc \ PowerDesk \ Matrox.PowerDesk SE.exe " [20:33 2008-06-11: 38 2630664]
" Act.Outlook.Service " = " C:\ Program sparar \ AGERAR \ agerar för Windows \ Act.Outlook.Service.exe " [16:08 2009-02-24: 48 28672]
" agerar! Preloader " = " C:\Program Files\ACT\Act för Windows \ ActSage.exe " [16:09 2009-02-24: 14 393216] det snabba sökandet för
" Google boxas " = " C:\Program Files\Google\Quick sökandeboxas \ GoogleQuickSearchBox.exe " [13:45 2009-05-27: 19 68592]
" AppleSyncNotifier " = " C:\Pr ogram sparar \ vanligt sparar \ Apple \ mobil apparatservice \ slänga i soptunnan \ AppleSyncNotifier.exe " [20:51 2009-08-13: 42 177440] uppgift för
" QuickTime " = " C:\Program Files\QuickTime\qttask.exe " [04:08 2009-11-11: 18 417792]
" iTunesHelper " = " C:\Program sparar \ iTunes \ iTunesHelper.exe " [23:07 2010-02-15: 02 141608]
" KMCONFIG " = " C:\Program Files\iHome\Mouse chaufför \ StartAutorun.exe " [06:22 2008-05-30: 32 212992]
" kernel- och maskinvaruabstraktionlagrar " = " KHALMNPR.EXE " [18:46 2008-10-10: 26 69632]
" STFWebFormApp " = " C:\Progra m sparar \ vanligt sparar \ STF servar delat \ WebFormApp.exe " [19:10 2010-04-08: 34 85128]
" Adobeavläsare rusar launcheren " = " C:\Program Files\Adobe\Reader 9.0 \ avläsaren \ Reader_sl.exe " [05:42 2010-04-04: 51 36272]
" Adobe BEVÄPNAR " = " C:\Program Files\Common sparar \ Adobe \ BEVÄPNAR \ 1.0 \ AdobeARM.exe " [18:17 2010-03-24: 52 952768] användare för

C:\Documents and Settings\All \ startmeny \ program \ start- \ för
Device avkännare 3.lnk - C:\Program Files\Olympus\DeviceDetect or \ konfigurationen Tool.lnk för DevDtct2.exe [2009-2-5 163840]
Directrec - C:\Program Files\Olympus\DeviceDetect or \ DirectrecConfig.exe [2009-2-5 167936]
Logitech SetPoint.lnk -
MultiMon Taskbar.lnk för C:\Program Files\Logitech\SetPoint\Se tPoint.exe [2010-3-25 809488] -
Windows Search.lnk för C:\Program Files\MMTaskbar\MultiMon.e xe [2008-9-15 294912] -
" HideLogonScripts " för

[HKEY_CURRENT_USER \ software \ microsoft \ fönster \ currentversion \ policies \ system] för C:\Program Files\Windows skrivbords- sökande \ WindowsSearch.exe [2008-5-26 123904] = 0

[hkey_local_machine \ software \ microsoft \ windows \ currentversion \ explorer \ ShellExecuteHooks]
" {56F9679E-7826-4C84-81F3-532071A8BCC5} ”= ”C:\Program Files\Windows det skrivbords- sökandet \ MSNLNamespaceMgr.dll” [02:41 2009-05-25: 34 304128] 20:41 för
2008-11-07 för

[HKEY_LOCAL_MACHINE \ software \ microsoft \ nt för windows \ currentversion \ winlogon \ meddelar \ LBTWlgn]: 22 72208      ----a-w- c:\Program Files\Common sparar \ Logishrd \ Bluetooth \ LBTWLgn.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \ WdfLoadGroup] \ \ \ system32 \ sessmgr.exe " =
" C:\ för
" %windir% för

för "" för
@= [HKLM \ ~ \ servar \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ AuthorizedApplications \ List], \ WINDOWS \ \ SMINST \ \ Scheduler.exe " =
" %windir% \ \ knyter kontakt diagnostik\ \ xpnetdiag.exe " =
" C:\ \ program sparar \ \ Microsoft Office\ \,Office12 \ \ OUTLOOK.EXE "
" 65533 för =

[HKLM \ ~ \ servar \ sharedaccess \ parameters \ firewallpolicy \ standardprofile \ GloballyOpenPorts \ listar]: TCP " = 65533: TCP: Services
" 52344: TCP " = 52344: TCP: Services
" 7068: TCP " = 7068: TCP: Services
" 4284: TCP " = 4284: TCP: Services
" 3389: TCP " = 3389: TCP: Avlägsna Desktop

R1 Mtxparmx; Mtxparmx; C:\WINDO WS \ system32 \ chaufförer \ mtxparmx.sys [9/12/2008 8:22: 20
R2 KMWDSERVICE FÖR FÖRMIDDAG 5504]; Skriva och den tjänste- muskommunikationen; C:\Program Files\iHome\Mouse chaufför \ KMWDSrv.exe [6/23/2008 10:28: 08
R2 LBeepKE för PM 208896]; LBeepKE; C:\WINDOWS \ system32 \ drivers \ LBeepKE.sys [3/25/2010 11:33: 37 centrera för
R2 Matrox för FÖRMIDDAG som 10384] är tjänste-; Matrox centrera som är tjänste-; C:\Program Files\Matrox diagram Inc \ PowerDesk \ servar \ Matrox.PowerDesk. Services.exe [6/11/2008 4:29: 26
R2 Matrox.Pdesk.ServicesHost för PM 586760]; Matrox.Pdesk. ServicesHost; C:\P rogram sparar \ SE för Matrox diagram Inc \ PowerDesk \ Matrox.Pdesk.ServicesHost.exe [6/11/2008 4:33: 38
R2 MSSQL$ACT7 FÖR PM 189448]; Sql-server (ACT7); C:\Program Files\Microsoft SQL server \ MSSQL.1 \ MSSQL \ Binn \ sqlservr.exe [5/27/2009 3:27: 04 pdfcDispatcher för
R2 för FÖRMIDDAG 29262680]; Pdf-dokumentchef; färdiga \ pdfsvc.exe C:\Program Files\PDF [5/27/2008 5:19: 14
R3 MTXPAR FÖR FÖRMIDDAG 576024]; MTXPAR; C:\WINDOWS\s ystem32 \ drivers \ MTXPARM.sys [9/12/2008 8:22: 20
S2 FÖR FÖRMIDDAG 1485568] AGERAR! Scheduler; AGERA! Scheduler; C:\Program Files\ACT\Act för Windows \ Act.Scheduler.exe [2/24/2009 12:08: 50
S2 gupdate1c9960193c6b225 för PM 81920]; Tjänste- Google uppdatering (gupdate1c9960193c6b225); C: \ Programet sparar \ Google \ uppdateringen \ GoogleUpdate.exe [2/23/2009 5:56: 27
S2 TSScheduleBackup för PM 133104]; TimeslipsBackup; C:\ WINDOWS \ system32 \ TSSchBkpService.exe [9/15/2008 12:47: 43
.
Contents för PM 705024] av uppdateringen för programvara för wareUpdate.job
- C:\Program Files\Apple för folder

2010-03-06 C:\WINDOWS\Tasks\AppleSoft ”för planlagda uppgifter” \ SoftwareUpdate.exe [16:34 2008-07-30: 12. 2008-07-30 16:34: 12] Updater \ GoogleUpdaterService.exe [för programvara Updater.job
- C:\Program Files\Google\Common\Google för

2010-06-17 C:\WINDOWS\Tasks\Google 21:56 2009-02-23: 01. 2009-03-24 14:54: 17] Update.exe [för ateTaskMachineCore.job
- C:\Program Files\Google\Update\Google för

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21:56 2009-02-23: 27. 2009-02-23 21:56: 24] Update.exe [för ateTaskMachineUA.job
- C:\Program Files\Google\Update\Google för

2010-06-17 C:\WINDOWS\Tasks\GoogleUpd 21:56 2009-02-23: 27. 2009-02-23 21:56: 24]
.
.
------- Tillagd bildläsning -------sida = hxxp för
.
uStart: inställningar för //my.yahoo.com/
uInternet, ProxyOverride = *.local
IE: &AOLToolbarsökande - C:\Documents and Settings\All användare \ applikationdata \ AOL \ ieToolbar \ resources \ en-US \ local \ search.html
IE: E&xport till Microsoft Excel - C:\PROGRA ~1 \ MICROS~3 \ Office12 \ EXCEL.EXE/3000
DPF: {03A89EFD-E023-A200-A22D-45F77558EB4C} - hxxps: //content10.ilinc.com/download/AXCltInstall.dll
.
- - - - FÖRÄLDRALÖSAR TOG BORT - - - -

HKCU-Run-updateMgr - C:\Program Files\Adobe\Acrobat 7.0 \

catchme 0.3.1398 W2K/XP/Vista - rootkit-/stealthmalwareavkännare för ******** för för ********** för för ********** för för ********** för för ********** för avläsar- \ AdobeUpdateManager.exe



************************** av Gmer, rel= " nofollow "” för _blank” för 15:00 för http://www.gmer.net
Rootkit bildläsning 2010-06-17: 42
Windows 5.1.2600 som den tjänste- packen 3 dolde NTFS

scanning bearbetar… för autostarttillträden för

scanning dold dold

scanning…, sparar… avslutad successfully
hidden för

scan sparar: för ************************** för 0

avkännare 0.3.7 för

Stealth MBR rootkit/Mebroot/Sinowal för ******** för för ********** för för ********** för för ********** för för ********** av Gmer, rel= " nofollow "” för _blank” för http://www.gmer.net

device: öppnad successfully
user: MBR läste enheter för successfully
called: >>UNKNOWN för ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll [0x8983C78A] <<
kernel: MBR läste rootkit för successfully
detected MBR hakar:
\ chaufför \ Disk - > CLASSPNP.SYS @ 0xba0ecf28
\ chauffören \ ACPI - > ACPI.sys @ 0xb9f7fcb8
\ chaufför \ atapi - > ntkrnlpa.exe @ 0x80586e11
IoDeviceObjectType - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
\ apparaten \ Harddisk0 \ DR0 - > ParseProcedure - > ntkrnlpa.exe @ 0x805827e8
NDIS: NIC för det Realtek RTL8168C (P) /8111C (P) PCI-E GigabitEthernetet - > SendCompleteHandler - > 0x898a2b00
PacketIndicateHandler - > NDIS.sys @ 0xb9e2aa21
SendHandler - > NDIS.sys @ 0xb9e0887b
copy av MBR har funnits i
malicious för sektoren 0x03A380D80 kodifierar @ sektoren 0x03A380D83!
PE sparar funnit i sektor på 0x03A380D99! avkänd rootkitinfektion för
MBR! Bruk: ”mbr.exe - f” till för ************************** för fix.


" ImagePath " = " färdiga \ pdfsvc.exe C:\Program Files\PDF för

[HKEY_LOCAL_MACHINE \ System \ ControlSet001 \ Services \ pdfcDispatcher] för ******** för för ********** för för ********** för för ********** för för ********** /startedbyscm: 66B66708-40E.
för/>2BE4D-pdfcService "--------------------- DLLs laddade under spring bearbetar ---------------------

- - - - - - - >
c:\program files\common ”för winlogon.exe” (716) sparar \ logishrden \ bluetooth \ LBTWlgn.dll
c:\program files\common sparar \ logishrden \ bluetooth \ LBTServ.dll

- - - - - - - > tid för
.
Completion för
C:\Program Files\Bonjour\mdnsNSP.dll ”för lsass.exe” (772): 2010-06-17 15:02: 19:02 för 08
ComboFix-quarantined-files.txt 2010-06-17: 06

Pre-Run: 464.428.068.864 byte free
Post-Run: 464.632.573.952 partition (1) för rdisk för disk för
timeout=2
default=multi för bytefree

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[kängaladdare] (0) (0) 0) (\ WINDOWS
[fungeringssystem]
C:\CMDCONS\BOOTSECT.DAT = " den Microsoft Windows återställningen tröstar” partition (1) för rdisk för disk för /cmdcons
multi (0) (0) 0) (\ =optin/fastdetect för WINDOWS= " Microsoft Windows Xp yrkesmässig” /noexecute

- - avsluta av sparar - - 8C319282DDFBE1A4552469747AD1DA29
 " klar "

Svar : Ta bort Rootkit.Agent på Windows Xp SP3 ComboFix logga fäst


Gynnar av knyter kontakt utplacering
------------------------------

    * Bygg och utplacera applikationen servar snabbt och lätt
    * Körningen servar i den säkraste, mest scalable highly-available miljön
    * Återanvända programvarutillgångar och fördjupa deras räckvidd
    * Klara av applikationer obesvärat
    * Väx, som behov evolve och att utnyttja kärna ur tillgångar och expertis
    * Den WebSphere applikationserveren knyter kontakt utplacering levererar den säkra, scalable highly-available applikationinfrastrukturen som du behöver för SOA.
    * Förhöjda rengöringsdukserveices fungerar

Vad oss kan göra med knyter kontakt utplacering?
----------------------------------------

Det huvudsakliga temat med knyter kontakt deoplyment är utdelade applikationer. Fördriva flödet av en applikation återstår samma, där är signigicant tillägg till runtimen av en applikation.


1) Knyta kontakt utplacering. Denna version stöttar utplacering av en cellkonfiguration med samla i en klunga och J2EE-failoverservice. Den nu inkluderar också kantar delar som föregående är bekant som, kantar serveren. Detta ger en närståendeserver, laddar att balansera och tillfredsställa-baserad sändning.

2) Den IBM WebSphere applikationserveren knyter kontakt utplacering ger den administrativa funktionsdugligheten för att utplacera, och att främja din applikation kodifiera till alla knutpunkter i din applikationserver samla i en klunga.

VAR ND ger böjlighet för fördelning av dina applikationer över celler, knutpunkter och applikationserveror

VAR ND låter för många knutpunkter, med multipelapplikationserveror på varje knutpunkt och multipelapplikationer i varje server.

3) samla i en klunga och failoverservice

4) webserver inkopplings-i ensidig arbetsbördaledning för service


Knyta kontakt utplaceringbegrepp?
---------------------------

Anoden är logiskt gruppera av applikationserveren

-- varje knutpunkt klaras av av en nodeagent singel bearbetar
-- mutipleknutpunkter kan finnas på singel bearbetar med maskin till och med bruket av profilerar

Processaa rättor för en utplaceringchef (dmgr) nodeagentsna
-- rymmer konfigurationen respoitory för det hela ledningområdet, kallat en cell

-- inom en cell de administrativa tröstar körningsinsida som dmgren using denna tröstar dig kan klara av alla knutpunkter i en cell.

-- Alla uppdateringar till konfigurationen sparar bör gå till och med utplaceringchefen.
Andra lösningar  
 
programming4us programming4us