Win32:Malware-gen

[Jaac]

Program Avast znalazł wirusa win32:Malware-gen w c:\windows\assembly\tmp\u w pliku 800000cb.

 

Results of screen317's Security Check version 0.99.7

Windows 7 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 25

Out of date Java installed!

Adobe Flash Player 10.3.181.14

Adobe Reader 9.1 MUI

Out of date Adobe Reader installed!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Symantec Norton Online Backup NOBuAgent.exe

Symantec Norton Online Backup NOBuClient.exe

AVAST Software Avast AvastSvc.exe

AVAST Software Avast AvastUI.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

[picasso]

Uruchamiałeś jakiś skrypt do OTL - pokaż skąd i co zawierał. W raportach nie widzę bezpośrednich znaków infekcji, ale budzi pewien niepokój prezentacja łańcucha Winsock:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 -  File not found

 

Poproszę o odczyt z narzędzia Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, nic nie usuwaj na własną rękę (przyznaj akcję Skip) i tylko pokaż log wynikowy.

 

 

.

[Jaac]

:OTL

O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - File not found

O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found

O3 - HKU\S-1-5-21-1645522239-1417001333-1658580976-1004\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - File not found

SRV - File not found [Auto | Stopped] -- -- (NeroRegInCDSrv)

DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme)

[2011-07-26 10:47:26 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe

 

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="about:blank"

 

:Commands

[emptyflash]

[emptytemp]

 

Kaspersky TDSSKiller nic nie wyrkył.

[picasso]

1. Kto montował ten skrypt i na podstawie jakich danych?

 

2. Jeśli Kaspersky nic nie wykrył, to zresetuj Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset. Następnie wygeneruj nowy log z OTL dla przedstawienia czy komenda miała pożądany skutek.

[Jaac]

1. Na podstawie danych z otl.

 

2. Zrobione

OTL.Txt

[picasso]

Jest bez zmian. Poproszę o szczegółowe dane z łańcucha (na podstawie tych danych będę w dalszej kolejności weryfikować obecność plików na dysku). Uruchom SystemLook x64, do skanu wklej co podane niżej i klik w Look.

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9 /s

 

PS. Tylko główny OTL mi był potrzebny, Extras po raz drugi nie. Nadwyżka usunięta.

 

 

 

.

[Jaac]

System look

SystemLook.txt

[picasso]

Kolejny warunek do szukania w SystemLook:

 

:filefind
wshtcpip.dll
wship6.dll
wshqos.dll

[Jaac]

System look

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:07 on 04/08/2011 by user

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "wshtcpip.dll"

C:\Windows\System32\WSHTCPIP.DLL --a---- 13312 bytes [23:21 13/07/2009] [01:41 14/07/2009] 31559F3244C6BC00A52030CAA83B6B91

C:\Windows\system64\WSHTCPIP.DLL --a---- 13312 bytes [23:21 13/07/2009] [01:41 14/07/2009] 31559F3244C6BC00A52030CAA83B6B91

C:\Windows\SysWOW64\WSHTCPIP.DLL --a---- 9216 bytes [23:12 13/07/2009] [01:16 14/07/2009] EE5C8E27C37B79CB54A2FCEEED2DC262

C:\Windows\winsxs\amd64_microsoft-windows-winsock-helper-tcpip_31bf3856ad364e35_6.1.7600.16385_none_27a7f7694b388c01\WSHTCPIP.DLL --a---- 13312 bytes [23:21 13/07/2009] [01:41 14/07/2009] 31559F3244C6BC00A52030CAA83B6B91

C:\Windows\winsxs\x86_microsoft-windows-winsock-helper-tcpip_31bf3856ad364e35_6.1.7600.16385_none_cb895be592db1acb\WSHTCPIP.DLL --a---- 9216 bytes [23:12 13/07/2009] [01:16 14/07/2009] EE5C8E27C37B79CB54A2FCEEED2DC262

 

Searching for "wship6.dll"

C:\Windows\System32\wship6.dll --a---- 13824 bytes [23:21 13/07/2009] [01:41 14/07/2009] EC7CBFF96B05ECF3D366355B3C64ADCF

C:\Windows\system64\wship6.dll --a---- 13824 bytes [23:21 13/07/2009] [01:41 14/07/2009] EC7CBFF96B05ECF3D366355B3C64ADCF

C:\Windows\SysWOW64\wship6.dll --a---- 10752 bytes [23:12 13/07/2009] [01:16 14/07/2009] 73E8667A19FEEDD856DF2695E9E511D4

C:\Windows\winsxs\amd64_microsoft-windows-winsock-helper-tcpip_31bf3856ad364e35_6.1.7600.16385_none_27a7f7694b388c01\wship6.dll --a---- 13824 bytes [23:21 13/07/2009] [01:41 14/07/2009] EC7CBFF96B05ECF3D366355B3C64ADCF

C:\Windows\winsxs\x86_microsoft-windows-winsock-helper-tcpip_31bf3856ad364e35_6.1.7600.16385_none_cb895be592db1acb\wship6.dll --a---- 10752 bytes [23:12 13/07/2009] [01:16 14/07/2009] 73E8667A19FEEDD856DF2695E9E511D4

 

Searching for "wshqos.dll"

C:\Windows\System32\wshqos.dll --a---- 16896 bytes [00:09 14/07/2009] [01:41 14/07/2009] 16E964ABF6D1E0F0CC7822FCA9BA754D

C:\Windows\system64\wshqos.dll --a---- 16896 bytes [00:09 14/07/2009] [01:41 14/07/2009] 16E964ABF6D1E0F0CC7822FCA9BA754D

C:\Windows\SysWOW64\wshqos.dll --a---- 13824 bytes [23:53 13/07/2009] [01:16 14/07/2009] 81F08948A0F1475894C99D4D19A158A8

C:\Windows\winsxs\amd64_microsoft-windows-qos_31bf3856ad364e35_6.1.7600.16385_none_0a405a377155a88a\wshqos.dll --a---- 16896 bytes [00:09 14/07/2009] [01:41 14/07/2009] 16E964ABF6D1E0F0CC7822FCA9BA754D

C:\Windows\winsxs\wow64_microsoft-windows-qos_31bf3856ad364e35_6.1.7600.16385_none_14950489a5b66a85\wshqos.dll --a---- 13824 bytes [23:53 13/07/2009] [01:16 14/07/2009] 81F08948A0F1475894C99D4D19A158A8

 

-= EOF =-

[picasso]

Hmmm?! Jest tu nienormalna rzecz, prócz poprawnych ścieżek system32 (64-bit) + SysWOW64 (32-bit) wraz z kopiami w winsxs, te trzy pliki się objawiają także w kuriozalnej nieistniejącej na platformie Windows ścieżce system64 (a parametery plików w niej rzekomo wyglądają jak prawdziwe pliki 64-bit, co wygląda na przekierowanie):

 

C:\Windows\system64\WSHTCPIP.DLL	--a---- 13312 bytes	[23:21 13/07/2009]	[01:41 14/07/2009] 31559F3244C6BC00A52030CAA83B6B91
C:\Windows\system64\wship6.dll	--a---- 13824 bytes	[23:21 13/07/2009]	[01:41 14/07/2009] EC7CBFF96B05ECF3D366355B3C64ADCF
C:\Windows\system64\wshqos.dll	--a---- 16896 bytes	[00:09 14/07/2009]	[01:41 14/07/2009] 16E964ABF6D1E0F0CC7822FCA9BA754D

Rób kolejny skan w SystemLook, tym razem na warunkach:

 

:dir
C:\Windows\system64 /s
 
:regfind
system64
 
:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s

 

Od razu może powiem jakie mam podejrzenie już od momentu gdy zobaczyłam "not found" w Winsock (nie zanika mimo resetu netsh i potwierdzonej obecności plików na dysku): objawy pasują do rootkita ZeroAccess. Opis zachowania tej infekcji na platformie x64: KLIK. SystemLook nie nadaje się w pełni do diagnostyki tego pokroju, ale że nie mam jeszcze pewności co my tu mamy, na początek sprawdzam co narzędzie widzi na temat "system64".

 

 

.

[Jaac]

System look

 

SystemLook 30.07.11 by jpshortstuff

Log created at 12:39 on 07/08/2011 by user

Administrator - Elevation successful

 

========== dir ==========

 

C:\Windows\system64 - Parameters: "/s"

 

---Files---

 

consrv.dll --a---- 31744 bytes [23:31 13/07/2009] [01:39 14/07/2009]

 

(edytowane - kopia katalogu Windows)

 

========== regfind ==========

 

Searching for "system64"

No data found.

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Debug"=""

@="mnmsrvc"

"Kmode"="\SystemRoot\System32\win32k.sys"

"Optional"="Posix"

"Posix"="%SystemRoot%\system32\psxss.exe"

"Required"="Debug Windows"

"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16"

 

 

-= EOF =-

[picasso]

Katalog system64 jest ogromny i stanowi replikę wyglądu katalogu Windows, co sugeruje, że jest to oszukańczy link symboliczny. Natomiast skan klucza SubSystems potwierdza infekcję ZeroAccess w systemie, gdyż w wartości Windows jest odnośnik do biblioteki tej infekcji consrv.dll:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16"

 

Dla porównania z mojego systemu Windows 7 x64:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16"

 

Ta część rejestru musi zostać przekonfigurowana, gdyż samo usunięcie pliku może wywołać krytyczny BSOD. Rozpocznę tu od procedury auto dla orientacji, czy jest to wykonalne. Jeśli zawiedzie, dostaniesz instrukcje usuwania z poziomu izolowanego środowiska z płyty boot.

 

Zgodnie ze wskazówkami uruchom ComboFix i przedstaw wyniki jego pracy. ComboFix podczas uruchamiania tworzy punkt Przywracania systemu, jeśli cokolwiek by się stało, możesz odkręcić status systemu.

 

 

 

.

[Jaac]

Wynikowy raport:

ComboFix.txt

[picasso]

Dlaczego usunąłeś poprzednie Załączniki z OTL i SystemLook? Temat nie trzyma się kupy, moje wypowiedzi stają się oderwane od danych. Zrekonstruowałam całość. Może chodziło Ci o to, że zaczęło brakować miejsca w Załącznikach? Ten najgrubszy raport z SystemLook ważący ponad 2MB ścięłam, nie muszę oglądać ponownie replikacji zawartości Windows. I proszę nie rób więcej takich akcji, to psuje wątek i dowala mi roboty z wyszukiwaniem kopii ...

 

Wygląda na to, że ComboFix sobie poradził, oba wykryte tu elementy są oznaczone jako skasowane:

 

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\consrv.dll
c:\windows\System64

Do weryfikacji czy również rejestr został uzgodniony i jak teraz prezentuje się łańcuch Winsock.

 

1. Do SystemLook wklej poniższy warunek i przedstaw raport:

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s

2. Również uruchom OTL i sprawdź czy w logu wynikowym wejścia O10 z oznaczeniem "File not found" nadal są widoczne. Jeśli nie, sprawa jest rozwiązana. Raportu z OTL nie muszę oglądać.

 

 

 

 

.

[Jaac]

Poprzednie załaczniki usunalem bo nie moglem wkleic nowych.

OTL.Txt

SystemLook.txt

[picasso]

Klucz w rejestrze został poprawnie zaktualizowany przez ComboFix. Łańcuch Winsock uległ przeobrażeniu, teraz zamiast od góry do dołu "not found" ujawniły się faktyczne naruszenia po infekcji:

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000025 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000026 -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000025 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000026 -  File not found

To powinna skorygować komenda netsh winsock reset (ale tylko dla części Protocol a nie NameSpace), którą zadam zaraz w skrypcie. Ponadto, załączę na usuwanie odpadki po pasku narzędziowym DAEMON Tools Toolbar i klasyczne czyszczenie lokalizacji tymczasowych.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
netsh winsock reset /C
 
:OTL
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-1344114219-4188551940-1791189085-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt.

 

2. Przedstaw do oceny: log z usuwania + skan SystemLook na klucze NameSpace:

 

:reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5 /s

(po sprawdzeniu tego klucza zadam kolejną korektę w rejestrze i wtedy mi zrobisz finałowy log z OTL)

 

 

I zdaj relację czy wszystko zdaje się być w porządku w systemie.

 

 

 

.

[Jaac]

Wydaje sie byc w porzadku

SystemLook.txt

OTL.Txt

08082011_092020-1.txt

[picasso]

Pozostał tylko ten problem:

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found

Wg najnowszego skanu w SystemLook dostawcy numer 4 to:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\System32\nwprovau.dll"
"DisplayString"="NWLink IPX/SPX/NetBIOS Compatible Transport Protocol"
"ProviderId"=f0 aa 2d e0 9f 7e cf 11 ae 5a 00 aa 00 a7 11 2b  (REG_BINARY)
"SupportedNameSpace"= 0x0000000001 (1)
"Enabled"= 0x0000000001 (1)
"Version"= 0x0000000001 (1)
"StoresServiceClassInfo"= 0x0000000001 (1)
"ProviderInfo"= (REG_BINARY)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\system32\napinsp.dll"
"DisplayString"="@%SystemRoot%\system32\napinsp.dll,-1000"
"ProviderId"=a2 cb 4a 96 bc b2 eb 40 8c 6a a6 db 40 16 1c ae  (REG_BINARY)
"SupportedNameSpace"= 0x0000000025 (37)
"Enabled"= 0x0000000001 (1)
"Version"= 0x0000000000 (0)
"StoresServiceClassInfo"= 0x0000000001 (1)
"ProviderInfo"= (REG_BINARY)

Poza tym, nie zgadza się przeliczenie dostawców, gdyż w obu podkluczach jest ich po 6, ale jedna z wartości widzi ich tylko 4:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"= 0x0000000004 (4)
"Num_Catalog_Entries64"= 0x0000000006 (6)

 

Kolejne sprawdzanie, czy na dysku są pliki należne do tych numerów. W SystemLook przepuszczaj skan o zawartości:

 

:filefind
napinsp.dll
nwprovau.dll

 

Odpisuj już oczywiście pode mną, by zachować ciągłość dyskusji.

 

 

 

.

[Jaac]

System look

SystemLook.txt

[picasso]

Plik napinsp.dll jest ewidentnie na dysku i wygląda na to, że te dwa wpisy widziane w OTL jako "not found" to w istocie chodzi tylko o jeden klucz. Tego drugiego pliku nwprovau.dll (domyślnie w Windows 7 nie występuje) rzeczywiście brakuje. W obu gałęziach Catalog_Entries + Catalog_Entries64 w standardowej konfiguracji powinno być po tyle samo zapisów, zrobionych na zasadzie lustrzanej. Tu w gałęzi Catalog_Entries jest wpis 4 który kieruje do nieistniejącego nwprovau.dll, a nie ma wpisu kierującego do napinsp.dll (który jest czwórką w korespondującym Catalog_Entries64). Przetasuję to.

 

EDIT: hmmm, przyjrzałam się bliżej reszcie wpisów NameSpace, nie tylko dostawcy numerowanemu jako 4 (którego punktuje OTL), i też notuję tu jakieś dziwne rzeczy i wymieszanie. To mi wygląda podejrzanie i w takiej sytuacji ja bym tu zrobiła inaczej, całkowite wyzerowanie katalogu NameSpace na korzyść importu wpisów wyciągniętych wprost z fabrycznego obrazu instalacyjnego Windows 7 x64. Poniżej nowy FIX.REG uwzględniający tę operację.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:00000020
"Num_Catalog_Entries64"=dword:00000006
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system.

 

2. Zrób nowy log z OTL. Sam już sprawdź czy wpisy O10 zniknęły z odczytu. Jeśli tak = poinformuj mnie tylko, a już przejdę do finałowych porządków. Jeśli nie = log z OTL mi jednak doczep.

 

 

.

[Jaac]

Nie jestem pewien czy zniknęły więc wkleję otl.

OTL.Txt

[picasso]

Mam nadzieję, że zastosowałeś poprawiony grubszy FIX.REG, bo jak potem doedytowałam, więcej danych wykryłam jako podejrzane / nieprawidłowe. Obecny log z OTL potwierdza zażegnanie problemu. Wszystkie wpisy O10 zniknęły z listowania. Możemy przejść do czynności końcowych:

 

1. Porządki po używanych narzędziach: przez SHIFT+DEL skasuj z dysku folder C:\_OTL. Odinstaluj Combofix, co także przeczyści foldery Przywracania systemu. Z klawiatury kombinacja klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\user\Downloads\ComboFix.exe /uninstall

 

2. Ważne aktualizacje (pod kątem łatania luk):

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1344114219-4188551940-1791189085-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

Brakuje głównych ważnych aktualizacji systemowych (Service Pack 1 i Internet Explorer 9), a pozostałe zakreślone programy należy zaktualizować: INSTRUKCJE.

 

3. Na wszelki wypadek dla własnego bezpieczeństwa zmień wszystkie hasła logowań w serwisach.

 

Po wykonaniu wszystkich zadań zgłoś się tu potwierdzając ich wykonanie.

 

 

 

.

[Jaac]

Wszystko wykonane. Wielkie dzięki za pomoc.