Windows recovery Virus - bekämpft, aber noch Symptome

lumememm

Liebe Trojanerfeinde,

vielen Dank bereits erst einmal für die bereits bestehenden Beiträge zum Thema "Windows recovery", dadurch konnte ich bereits Maßnahmen gegen die Infektion ergreifen. Dennoch scheinen nicht alle Symptome beseitigt zu sein, d.h. ich muss wohl noch etwas Arbeit in die Bereinigung des Virus stecken.

Nach der Infektion hatte ich Malwarebyte, Avira AntiVir und Spybot durchlaufen lassen - weiter unten die Ergebnisse der jeweils ersten Scans (weitere Scans waren dann jeweils sauber). Malwarebyte hatte ich nach dem Killen aller Prozesse mittels OTH.scr durchgeführt. Ich wollte mir auch die OTL.exe auf den Desktop laden, aber das funktioniert komischerweise nicht - die Datei wird nicht gespeichert. Falls ich also noch einen OTL log posten soll, bitte nochmal alternativ schreiben, wie ich das OTL in diesem Fall speichern kann.

Typische Symptome der Infektion wie verschwundene Dateien habe ich durch manuelles Löschen des "Versteckens" gelöst - allerdings ist meine Schnellstartleiste immer noch nicht wieder so wie vorher da, vielleicht ist das auch durch den Virus gelöscht worden. Momentan fallen mir noch Unregelmäßigkeiten im Internet auf: sowohl beim Internet-Explorer als auch beim Firefox, den ich mir gestern neu heruntergeladen habe, werden Suchen über google z.T. falsch abgeleitet und ich komme auf andere Adressen als beabsichtigt. Abenso sucht mir der Internetexplorer nebenbei noch auf dubiosen Seiten herum - sehe ich nur in meiner Historie. Bei der Firefoxchronik ist mir diesbezüglich noch nichts aufgefallen. Der IE will das auch, wenn ich offline bin, was meist der Fall ist - dann kommen Meldungen ala "diese Seite kann im Offlinemodus nicht angezeigt werden". Ich will den IE nicht mehr benutzen, fürchte aber, dass er im Hintergrund dennoch Aktivitäten starten könnte. Hab auch den Eindruck, dass IE und Firefox ziemlich lange brauchen, um sich zu öffnen.

Ich muss gestehen, dass die Infektion vermutlich durch einen nicht aktuellen AntiVir-Schutz nach dem Surfen in Facebook zustande gekommen ist - der Rechner hier wird nur gelegentlich benutzt und hat nur einen ISDN-Internetzugang. Ich weiß, keine Ausrede und ich werd versuchen, den zukünftig auf dem aktuellen Stand zu halten. Ich müßte auch ein Update von XP Servicepack 2 auf 3 vornehmen, aber die Ankündigung eines mehr als 12stündigen Downloads hatte mich gestern doch davon abgehalten.

So, ich hoffe die Empfehlungen zur vernünftigen Erstellung eines Beitrages weitgehend erfüllt zu haben und freue mich auf Antworten. Ich hoffe, gute Tipps zur Eliminierung der Restinfektion zu erhalten und bin auch für ergänzende Tipps zur Systemsicherheit dankbar, um zukünftigen Infektionen besser vorbeugen zu können.

Vielen Dank

Andreas

P.S.: falls ich etwas im abgesicherten Modus durchführen soll, bitte nochmal dazu schreiben, wie ich dort hinkomme


hier die Scans:

MALWAREBYTE (Quickscan - Vollscan brachte keine weiteren Resultate; inzwischen 5 Mal durchlaufen gelassen, keine Resultate mehr)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6450

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

26.04.2011 23:19:56
mbam-log-2011-04-26 (23-19-56).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 134781
Laufzeit: 5 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\control panel\Homepage (PUM.Hijack.HomePageControl) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\A\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\rsxwcwrakp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\A\Desktop\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\A\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\A\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.




AVIRA ANTIVIR

Avira AntiVir Personal
Report file date: Dienstag, 26. April 2011 22:15

Scanning for 2610132 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : WXPHPC1

Version information:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 10:04:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:33
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27.02.2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27.02.2009 09:58:52
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 20:14:16
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 20:14:16
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 20:14:16
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 20:14:16
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 20:14:16
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 20:14:16
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 20:14:16
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 20:14:16
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 20:14:16
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 20:14:16
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 20:14:16
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 20:14:16
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 20:14:16
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 20:14:16
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 20:14:16
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 20:14:16
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 20:14:16
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 20:14:16
VBASE019.VDF : 7.11.6.238 2048 Bytes 22.04.2011 20:14:16
VBASE020.VDF : 7.11.6.239 2048 Bytes 22.04.2011 20:14:16
VBASE021.VDF : 7.11.6.240 2048 Bytes 22.04.2011 20:14:16
VBASE022.VDF : 7.11.6.241 2048 Bytes 22.04.2011 20:14:16
VBASE023.VDF : 7.11.6.242 2048 Bytes 22.04.2011 20:14:16
VBASE024.VDF : 7.11.6.243 2048 Bytes 22.04.2011 20:14:16
VBASE025.VDF : 7.11.6.244 2048 Bytes 22.04.2011 20:14:16
VBASE026.VDF : 7.11.6.245 2048 Bytes 22.04.2011 20:14:16
VBASE027.VDF : 7.11.6.246 2048 Bytes 22.04.2011 20:14:16
VBASE028.VDF : 7.11.6.247 2048 Bytes 22.04.2011 20:14:16
VBASE029.VDF : 7.11.6.248 2048 Bytes 22.04.2011 20:14:16
VBASE030.VDF : 7.11.6.249 2048 Bytes 22.04.2011 20:14:16
VBASE031.VDF : 7.11.7.20 193024 Bytes 26.04.2011 20:14:17
Engineversion : 8.2.4.214
AEVDF.DLL : 8.1.2.1 106868 Bytes 26.04.2011 20:14:17
AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 26.04.2011 20:14:17
AESCN.DLL : 8.1.7.2 127349 Bytes 26.04.2011 20:14:17
AESBX.DLL : 8.1.3.2 254324 Bytes 26.04.2011 20:14:17
AERDL.DLL : 8.1.9.9 639347 Bytes 26.04.2011 20:14:17
AEPACK.DLL : 8.2.6.0 549237 Bytes 26.04.2011 20:14:17
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 26.04.2011 20:14:17
AEHEUR.DLL : 8.1.2.105 3453303 Bytes 26.04.2011 20:14:17
AEHELP.DLL : 8.1.16.1 246134 Bytes 26.04.2011 20:14:17
AEGEN.DLL : 8.1.5.4 397684 Bytes 26.04.2011 20:14:17
AEEMU.DLL : 8.1.3.0 393589 Bytes 26.04.2011 20:14:17
AECORE.DLL : 8.1.20.2 196982 Bytes 26.04.2011 20:14:17
AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2011 20:14:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:59
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:14:02
AVREP.DLL : 10.0.0.9 174120 Bytes 26.04.2011 20:14:17
AVREG.DLL : 9.0.0.0 36609 Bytes 05.12.2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:41
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05.12.2008 09:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:39:58
RCTEXT.DLL : 9.0.73.0 86785 Bytes 13.10.2009 11:25:47

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\programme\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: off
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: Dienstag, 26. April 2011 22:15

Starting search for hidden objects.
'25109' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'NMSSvc.Exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'iTouch.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'PROMon.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'InCDsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '58' files ).


Starting the file scan:

Begin scan in 'C:\' <LAUFWERK_C>
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19062580.exe
[DETECTION] Is the TR/Kazy.mekml.1 Trojan
Begin scan in 'D:\' <LAUFWERK_D>

Beginning disinfection:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\19062580.exe
[DETECTION] Is the TR/Kazy.mekml.1 Trojan
[NOTE] The file was moved to '4de72f38.qua'!


End of the scan: Dienstag, 26. April 2011 22:45
Used time: 29:49 Minute(s)

The scan has been done completely.

3276 Scanned directories
172795 Files were scanned
1 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
1 Files were moved to quarantine
0 Files were renamed
1 Files cannot be scanned
172793 Files not concerned
2135 Archives were scanned
1 Warnings
2 Notes
25109 Objects were scanned with rootkit scan
0 Hidden objects were found


SPYBOT (heute 2 Probleme mit Fake.WindowsRecovery in der Registry gefunden- lt. Malwarebyte und Avira war der Rechner bereits sauber)

Spybot - Search && Destroy process list report, 28.04.2011 20:46:20

PID: 0 ( 0) [System]
PID: 4 ( 0) System
PID: 152 (1472) C:\WINDOWS\system32\ctfmon.exe
PID: 244 ( 760) C:\WINDOWS\system32\svchost.exe
PID: 516 (1472) C:\Programme\Teledat\IWatch.exe
PID: 616 ( 4) \SystemRoot\System32\smss.exe
PID: 692 ( 616) csrss.exe
PID: 716 ( 616) \??\C:\WINDOWS\system32\winlogon.exe
PID: 760 ( 716) C:\WINDOWS\system32\services.exe
PID: 772 ( 716) C:\WINDOWS\system32\lsass.exe
PID: 944 ( 760) C:\WINDOWS\system32\svchost.exe
PID: 1000 ( 760) svchost.exe
PID: 1040 ( 760) C:\WINDOWS\System32\svchost.exe
PID: 1060 ( 760) C:\Programme\Ahead\InCD\InCDsrv.exe
PID: 1316 ( 760) svchost.exe
PID: 1328 (1472) C:\Programme\Mozilla Firefox\firefox.exe
PID: 1364 ( 760) svchost.exe
PID: 1472 (1412) C:\WINDOWS\Explorer.EXE
PID: 1600 ( 760) C:\WINDOWS\system32\spoolsv.exe
PID: 1684 ( 760) C:\Programme\Avira\AntiVir Desktop\sched.exe
PID: 1808 (1472) C:\WINDOWS\system32\PROMon.exe
PID: 1836 (1472) C:\WINDOWS\SOUNDMAN.EXE
PID: 1844 (1472) C:\Programme\Logitech\iTouch\iTouch.exe
PID: 1856 ( 760) C:\Programme\Avira\AntiVir Desktop\avguard.exe
PID: 1888 (1472) C:\Programme\Ahead\InCD\InCD.exe
PID: 1924 (1472) C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PID: 1980 (1472) C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PID: 2204 ( 760) alg.exe
PID: 3204 (1040) C:\WINDOWS\system32\wuauclt.exe
PID: 3408 (1924) c:\programme\avira\antivir desktop\avcenter.exe
PID: 3544 (1040) C:\WINDOWS\system32\wuauclt.exe
PID: 3724 (1472) C:\Programme\SICHERHEIT\Search & Destroy\SpybotSD.exe


--- Browser start & search pages list ---
Spybot - Search && Destroy browser pages report, 28.04.2011 20:46:20

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\SYSTEM32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
hxxp://www.google.de/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
about:blank


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 1: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 2: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip[*]

Protocol 3: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 4: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: MSAFD NetBIOS [\Device\NetBT_Tcpip_{37086CBC-85C3-42C7-8235-36C3242065A7}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{37086CBC-85C3-42C7-8235-36C3242065A7}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F343ECD4-8047-4489-8B16-45E7ADE96822}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F343ECD4-8047-4489-8B16-45E7ADE96822}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{6DC90313-4B05-4ACD-906F-969F509AFA40}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{6DC90313-4B05-4ACD-906F-969F509AFA40}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{758AD798-148B-4266-8FA8-098EF7C5CED6}] SEQPACKET 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{758AD798-148B-4266-8FA8-098EF7C5CED6}] DATAGRAM 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{95D05031-2A0E-4979-BE5B-E800817BE2D8}] SEQPACKET 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{95D05031-2A0E-4979-BE5B-E800817BE2D8}] DATAGRAM 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: TCP/IP
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS

Namespace Provider 2: NLA-Namespace
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace