Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: r32 en 10 Agosto 2012, 23:00



Título: Tutorial de análisis del PC con OTL de OldTimer.
Publicado por: r32 en 10 Agosto 2012, 23:00
Hola a todos, subo este tutorial para analizar el PC con la herramienta OTL de OldTimer con la que podremos generar un log y subir al foro. Es similar a la herramienta Hijackthis pero el log generado extrae más información. Discupad si hay algún error ortográfico, volveré a revisarlo.
El autor original es "emeraldnzl" y desde el foro de Infomalware junto con "Netsurfer" realizamos la traducción de la guia al español y algunas traducciones del propio programa.

(http://i398.photobucket.com/albums/pp69/minimal34/elhacker/otl_tutorial.jpg)


Tabla de contenidos:

 -   Introducción.
 -   Enlace para descargar OTL.
 -   Información del resultado.
 -   Exploración estándar.
 -   Ejemplo de salida.
 -   Procesos.
 -   Modulos.
 -   Servicios.
 -   Controladores/Drivers.
 -   Registro estándard.
 -   Internet Explorer
 -   Firefox
 -   O1 a O22 incluyendo O24
 -   O10
 -   O27 Image File Execution Options
 -   O28 Shell Execute Hooks
 -   O29 Security Providers
 -   O30 Lsa
 -   O31 Modo seguro
 -   O32 Archivos Autorun en discos locales.
 -   O33 MountPoints2
 -   O34 BootExecute
 -   O35 shell spawning values
 -   O36 appcert dlls
 -   O37 Asociación de archivos.


  -   Pre-defined Custom Scan Command Example
  -   Quick Reference of available Directives & Commands

        :processes
        :OTL
        :Services
        :Reg
        :Files
        :Commands

    Switches
    Commands/Switches
    CleanUp


OTL es una herramienta para el diagnóstico y la eliminación de malware.

Nota importante!: Aunque OTL es principalmente una herramienta de diagnóstico, la misma tiene una capacidad avanzada para eliminar programas maliciosos. Si usted no entiende las instrucciones en este tutorial, favor de solicitar la asistencia de un experto en la eiminación de programas maliciosos que ofrecen su ayuda gratis en uno de los foros que se indican abajo. Tenga mucho cuidado al desarollar y ejecutar uno de los códigos. El uso inapropiado de OTL puede causar la pérdida de sus datos o causar que éste no arranque.


Enlaces de descarga (versión actual 3.2.69.0):

http://oldtimer.geekstogo.com/OTL.exe

Para usuarios que no puedan ejecutar archivos con extensión .exe, pueden descargar OTL con una extensión .com o .scr que a efectos es lo mismo.

http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

Ejecutando OTL (ejecutar como administrador):

(http://i398.photobucket.com/albums/pp69/minimal34/elhacker/OTL_Icon.gif)

Ventana principal:

(http://i398.photobucket.com/albums/pp69/minimal34/elhacker/otl2.jpg)

Configurando OTL para un análisis óptimo y/o personalizado:

  • Asegurese de cerrar todas sus ventanas antes de ejecutarlo y dejelo correr sin interrumpirlo asta que termine el Análisis.
  • Hacer doble click en el icono "OTL.exe" para ejecutarlo.
  • Cuando la ventana principal aparezca, marcar las siguienes opciones:  Abajo de: "Tipo de Análisis" cambielo a Resultado Minimo.
  • Marcar las opciones: Buscar LOP y Buscar Purity.
  • Copia y pega el siguiente texto abajo de la barra azul de "Análisis Personalizados":

    Código:
    netsvcs
    drivers32
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    CREATERESTOREPOINT
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\drivers\*.sys /180
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop

  • Presione el boton (http://i318.photobucket.com/albums/mm416/Net_Surfer/scaled-9.png) Asegurarse de no cambiar el resto de la configuración a menos que te lo solicitemos, el análisis no tardará mucho.
  • Una vez termine se abrirán dos archivos, OTL.Txt y Extras.Txt. Éstos aparecerán grabados en el mismo lugar en que OTL.exe fue guardado.
  • Copiar y pegar el contenido del informe en el tema de tener que abrir uno en el foro.

Una vez que OTL haya completado su primer análisis, guardará una copia del resultado en un documento de texto y guardará en la misma carpeta donde se ejecutó. A menos que se incluya el informe "Extras" en la configuración, solamente se producirá el informe OTL.txt en escaneos siguientes.

En el caso del informe correspondiente a una reparación, el mismo se grabará en la carpeta:
    _OTLMoved Files reflejando la fecha y hora en la que se crea. En la mayoría de los casos, C:_OTLMoved Files.


* Encabezado.

Este es un ejemplo del encabezado de un registro:

Código:
OTL logfile created on: 10/08/2012 16:54:08 - Run 3
OTL by OldTimer - Version 3.2.56.0     Folder = C:\Documents and Settings\Administrador\Mis documentos\Descargas
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040A | Country: España | Language: ESP | Date Format: dd/MM/yyyy
 
2,00 Gb Total Physical Memory | 1,37 Gb Available Physical Memory | 68,38% Memory free
5,85 Gb Paging File | 5,07 Gb Available in Paging File | 86,76% Paging File free
Paging file location(s): C:\pagefile.sys 4092 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Archivos de programa
Drive C: | 99,83 Gb Total Space | 15,76 Gb Free Space | 15,78% Space Free | Partition Type: NTFS
Drive D: | 170,60 Gb Total Space | 129,15 Gb Free Space | 75,70% Space Free | Partition Type: NTFS
Drive F: | 195,32 Gb Total Space | 126,03 Gb Free Space | 64,53% Space Free | Partition Type: NTFS
Drive G: | 3,80 Gb Total Space | 0,99 Gb Free Space | 26,09% Space Free | Partition Type: FAT32
Drive K: | 931,51 Gb Total Space | 473,93 Gb Free Space | 50,88% Space Free | Partition Type: NTFS
 
Computer Name: DESKTOP | User Name: Administrador | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

Descripción del log generado por líneas:

Primera línea: Indica la fecha en que se creó el registro, la hora del día y cuantas veces OTL se a ejecutado.
Nota: la fecha se mostrará en el formato establecido por el usuario en el Panel de control.
Se utilizará esta información para determinar si el escaneo es el actual, y no uno antiguo.
Segunda línea: Muestra la versión d OTL y su ubicación en el disco. El número de versión es particularmente importante. Una versión no actualizada no tendrá la funcionalidad actual y puede arrojar un resultado equivocado a la hora de evaluar un registro. De igual forma, la ubicación de OTL en el disco puede ser de gran importancia, especialmente si el mismo no se encuentra en un lugar permanente.
Tercera línea: Muestra la versión de Windows activa en el equipo, y el tipo de sistema de archivo. Esta información es muy útil para determinar si otras herramientas son compatibles con el ordenador del usuario.
Cuarta línea: Indica la versión del Explorador de Windows (Internet Explorer). La versión 8 puede causar problemas en algunos equipos.
Quinta línea: Nos muestra el país, idioma y el formato de fecha que el sistema operativo está utilizando. Puede ser útil en la preparación de las respuestas. Para obtener una lista de las siglas utilizadas clic ---> Aquí.
Sexta línea: Le indica la cantidad de memoria (RAM) que el ordenador posee. A menudo esto puede ayudar a explicar muchos de los síntomas.
Nota: El informe de la cantidad de memoria puede aparecer más baja de lo que realmente está en la máquina. Esto sucede por varias razones. El ordenador puede que no pueda acceder a toda la memoria disponible; defectos en los modulos de memoria o su base; o algo que previene al inicio del ordenador reconocer la misma. Sistemas con más de 4GB de memoria, reflejarán el máximo de 4 GB.
Líneas séptima y octava: El archivo "Pagefile.sys" es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora. Así se amplía la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. El tamaño del archivo fluctúa basado en la necesidad del sistema.
Novena línea: Le indica el medio ambiente del sistema; desde donde funciona la unidad del sistema, la raíz del mismo y ubicación de los archivos de programas.
Las líneas siguientes: Le indica las unidades en que el equipo está dividido, su tamaño y el espacio libre disponible. Que tipo de unidad es y si está subdividido. Puede encontrar una situación donde existe muy poco espacio libre en el disco duro (para un sistema óptimo, debe ser mayor del 15%). De ser menor, esto puede afectar la habilidad del fucionamiento de las herramientas. Si el espacio libre es muy bajo, digamos del 5%, entonces hay una posibilidad de que el ordenador no inicie cuando se ejecuta una herramienta. OTL siempre informará el estado de las unidades C: a la I, independientemente de si están o no instalados. Cualquier unidad desde la J: a la Z:, será informado solo si están presentes.

El informe continúa con un grupo de líneas que indican el nombre del equipo, el usuario actual y el nivel al cual se ha conectado. Esto nos permite saber si el usuario tiene el permiso apropiado para ejecutar una reparación.
Luego de esto, existe otro grupo de líneas que indican la configuración utilizada en el escaneo, tal y como ; el modo de arranque del ordenador; si sólo se configuró el usuario actual o todos los usuarios; escaneo en sistemas de 64-bit; si la lista de compañías reconocidas fue omitida o no; y otros.

OTL agrega anotaciones a determinadas entradas del registro:

21:52:15 | 01,216,000 | ---- | M - el último de los caracteres entre los corchechetes [.] será permanente M para indicar si el archivo fue modificado, o C para para indicar si el archivo fue creado.

Todo escaneo, excepto por los que se realizan por la edad de archivos y análisis de aquellos sin la firma de compañías reconocidas, mostrará la fecha de la última modificación de los archivos. Los dos análisis mostrarán la fecha de creación de ambos, el archivo y la carpeta. Existen tipos de infecciones que ajustan la fecha de modificación para tratar de ocultarse o mezclarse con otros archivos o carpetas. De esta manera, y mediante el análisis de las fechas de creación y modificación, podemos identificar a este tipo de infección. Si los archivos o carpetas muestran una fecha modificada en el 2003, pero fueron creados en el 2010, entonces esto es una indicación de que debemos realizar una evaluación más profunda de estos archivos. Una evaluación profunda de los resultados de escaneo nos ayudará a identificar las infecciones de forma efectiva.

18:25:02 | 1609,916,416 | -HS- | M] () -- C:hiberfil.sys -

Luego del tamaño del archivo, aparecerán los siguientes atributos son:

R - Readonly - Leer solamente
H - Hidden - Oculto
S - System - Sistema
D - Directory - Carpeta

SRV - (NMSAccessU) -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe() - Esta línea indica que el archivo no está digitalmente firmado por una empresa. De estar digitalmente firmado, el nombre de la empresa aparecería dentro del paréntesis final. La mayoría de archivos maliciosos no tendrán nombre de empresa (aunque algunos sí, para ocultarse). Tenga en consideración que no todos los archivos sin nombre de empresa son malos, como muestra el ejemplo de arriba.

15:54:00 | 00,000,000 | ---D | M - Esta línea muestra un directorio (D) que se ha modificado (M) en 2009/03/10.

El tamaño de las carpetas siempre será cero según demuestra este ejemplo. Si hubiera sido un archivo, el atributo no sería una D y el tamaño del archivo normalmente sería mayor de cero, aunque también se pueden encontrar archivos con un tamaño cero. En este caso, el ejemplo es una carpeta y la fecha en que se muestra es la fecha de modificación.

Áreas de análisis estándar


RPC - procesos
MOD - módulos
SRV - servicios (O23 en HJT)
DRV - controladores
Registro estándar
IE - configuración del explorador (Internet Explorer)
FF - configuración del explorador (FireFox)
O1 a O24 - Estas líneas son similaresal registro de Hijackthis
O27 Opciones en la Ejecución de la imagen del archivo
O28 Ganchos de ejecución en la base de Windows (shell)
O29 Proveedores de seguridad
O30 Servicios de autenticación. (LSA)
O31 Modo de Inicio Seguro
032 Archivos de arranque automático en el disco
O33 Configuración de las unidades de almacenamiento
O34 Programas que se ejecutan al inicio
O35 Asociación de los archivos .com y .exe de la base del sistema
Bibliotecas (Librería) de Enlace Dinámico (.dll)
037 Asociación de los archivos .com y .exe de la base del sistema


Análisis de archivos y carpetas

Registro adicional - Se obtiene automáticamente durante el escaneo inicial de OTL. Realiza los siguientes análisis y coloca el resultado en el registro "Extras.txt". Este escaneo adicional sólo se ejecutará automáticamente la primera vez que OTL.exe se ejecute, mediante el cual se obtiene el primer análisis. Subsiguientemente, si desea ver estos resultados necesitará instruir a el usuario a que marque una de estas dos opciones: "Listado Minimo" o "Todos" en el grupo de registro adicional antes de hacer un scaneo de lo siguiente:

Asociación de archivos
Shell Spawning
Centro de Seguridad
Aplicaciones autorizadas (si se ejecuta en un sistema operativo no-Vista)
Reglas del "Firewall" en vista (si se ejecuta en un Vista o los sistemas operativos anteriores)
Lista de Programas Instalados
Vista de Sucesos (últimos 10 errores en cada área cubierta por la aplicación)

Existen dos formas de solicitarle al usuario que presente el Escaneo Estándar, "Resultado Completo" o "Resultado Mínimo". Además se puede utilizar la opción de listado minimo o "Todos" en cada uno de los escaneos standár selecionado con el grupo particular de scaneo.

Nota: Selecionando "Resultado Completo", la fecha hora del archivo se incluirán al principio de la línea, mientras que selecionando "Resultado Mínimo" sólo se incluirá el nombre del archivo, ubicación y nombre de la empresa. El resultado el escaneo concerniente a los procesos, módulos, servicios, controladores y análisis de archivos, se reflejará ordenados por fecha de archivo, sin embargo, en el caso de análisis personalizado, se ordenarán por ubicación y nombre de archivo. En los sistemas operativos de 64 bits, los elementos de 64 bits se enumerarán primero, y subsiguientemente los elementos de 32-bit dentro de la misma agrupación.

La lista de compañías reconocidas es una lista de más de 600 archivos (actualmente) de Microsoft que se consideran seguros, y que se filtrarán fuera de todos los análisis si el análisis incluyera esta opción. Al elegir la opción "Todos" en cualquier de estos análisis, se apagará el filtro y el resultado incluirá todos los achivos en el systema en el análisis.

Nota 2: Si usted va a utilizar un análisis personalizado asegúrese de que presione el botón Analizar. Si se cambia la opción de "Análisis Mínimo" se aplicará la configuración predeterminada.

También hay comandos adicionales personalizados y predefinidos que se pueden utilizar en análisis personalizados:

Nota: Con la excepción del comando HijackThisBackups, el resultado del escaneo utilizando los siguientes comandos se puede copia/pegar directamente en la sección de :OTL en una reparación para su eliminación.

HijackThisBackups - se enumeran todas las copias de apoyo producidas por Hijackthis
netsvcs - listas de entradas bajo HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost - netsvcs
msconfig - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfig
safebootminimal - listas de entradas bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootMinimal
safebootnetwork - listas de entradas bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootNetwork
activex - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components
drivers32 - listas de entradas bajo HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionDrivers32

Nota: De forma predeterminada, cada uno de los análisis predefinidos utilizará el filtro de companías reconocidas. Para anular esta acción e incluir todos los archivos en cualquiera de estos análisis debe incluir el codigo /all al final del comando (ejemplo: netsvcs /all).

Ejemplo de los resultados

Procesos

Muestra procesos que se estan ejecutando en su equipo.

========== Processes (SafeList) ==========

Estándar:
PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:OldTimer ToolsOTL.exe

Mínimo:
PRC - C:OldTimer ToolsOTL.exe (OldTimer Tools)

Módulos

========== Modules (SafeList) ==========

Estándar:
MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:Program FilesAgnitumOutpost Firewallwl_hook.dll

Mínimo:
MOD - c:Program FilesAgnitumOutpost Firewallwl_hook.dll (Agnitum Ltd.)

Servicios

Muestra servicios ejecutandose en el equipo.

========== Win32 Services (SafeList) ==========

Estándar:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:Program FilesWindows Media Playerwmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe -- (NMSAccessU)

Mínimo:
SRV:64bit: - (WMPNetworkSvc) -- C:Program FilesWindows Media Playerwmpnetwk.exe (Microsoft Corporation)
SRV - (NMSAccessU) -- C:Program Files (x86)CDBurnerXPNMSAccessU.exe ()

Controladores (Drivers)

Muestra Controladores ejecutandose en el equipo. Nota: Los controladores no se muestran de forma predeterminada en un examen rápido. Se deben seleccionar y ejecutar con el botón Analizar.

========== Driver Services (SafeList) ==========

Estándar:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -- C:WindowsSysNativedriversafwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:WindowsSysWOW64driversStarOpen.sys -- (StarOpen)

Mínimo:
DRV:64bit: - (afwcore) -- C:WindowsSysNativedriversafwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:WindowsSysWOW64driversStarOpen.sys ()

Registro estándar

========== Standard Registry (SafeList) ==========

Internet Explorer

========== Internet Explorer ==========

Esta sección muestra los ajustes del navegador IE Internet:

Citar
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 (https://foro.elhacker.net//"http://go.microsoft.com/fwlink/?LinkId=69157")
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 (https://foro.elhacker.net//"http://go.microsoft.com/fwlink/?LinkId=54896")
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Secondary_Page_URL = [binary data]
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Extensions Off Page = about:NoAdd-ons
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page =
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 (https://foro.elhacker.net//"http://go.microsoft.com/fwlink/?LinkId=54896")
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Security Risk Page = about:SecurityRisk
IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home (https://foro.elhacker.net//"http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home")
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm (https://foro.elhacker.net//"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm")
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html (https://foro.elhacker.net//"http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html")
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch (https://foro.elhacker.net//"http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch")
IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm (https://foro.elhacker.net//"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm")
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:Program FilesTalkTalk Mail Toolbartalktalkmailtb.dll (AOL LLC.)

IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.google.com/ie (https://foro.elhacker.net//"http://www.google.com/ie")
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Local Page =
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Page_Transitions = 1
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://www.google.com (https://foro.elhacker.net//"http://www.google.com")
IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.aol.co.uk/talktalk (https://foro.elhacker.net//"http://www.aol.co.uk/talktalk")
IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.google.com/ie (https://foro.elhacker.net//"http://www.google.com/ie")
IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.google.com/ie (https://foro.elhacker.net//"http://www.google.com/ie")
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:Program FilesTalkTalk Mail Toolbartalktalkmailtb.dll (AOL LLC.)
IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyEnable" = 0
IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyOverride" = *.local
IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyServer" = 0.0.0.0:80

En cuanto a algunos artículos en el ejemplo anterior podemos ver:

    IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 (https://foro.elhacker.net//"http://go.microsoft.com/fwlink/?LinkId=69157")
    MSN, página por defecto principal de IE.

    IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 (https://foro.elhacker.net//"http://go.microsoft.com/fwlink/?LinkId=54896")
    Bing, Motor de búsqueda principal de IE por defecto.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Extensions Off Page = about:NoAdd-ons
        Una de las características menos conocidas de Internet Explorer 7 es el modo de la opcion de "No Add Ons" . Esta página se utiliza cuando el modo de No Add Ons está en funcionamiento.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page =
        página local está en blanco. Otro ajuste similar es =C:WINDOWSSystem32blank.htm.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerMain,Security Risk Page = about:SecurityRisk
        Informa al usuario de no navegar con la configuración de seguridad actual, ya que pueden ser perjudiciales para el equipo. Ver aquí para una lista común sobre: direcciones.

        IE - HKLMSOFTWAREMicrosoftInternet ExplorerSearch,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html (https://foro.elhacker.net//"http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html")

    Página web de Yahoo
    BHO relacionados con Yahoo.

    IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.aol.co.uk/talktalk (https://foro.elhacker.net//"http://www.aol.co.uk/talktalk")

    Indica la página de inicio predeterminada..

    IE - HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = http://www.google.com (https://foro.elhacker.net//"http://www.google.com")
    Google se establece como una página de búsqueda principal.

    IE - HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = http://www.google.com/ie (https://foro.elhacker.net//"http://www.google.com/ie")
    ndica el conjunto de Google.com/ie como un motor de búsqueda predeterminado.


Proxy /Configuración settings.

    IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyEnable" = 0
    = 0 indica que el servidor proxy está inhabilitado (ajustar el valor de 'ProxyEnable "igual a" 1 "para el proxy habilitado o '0 'para inabilitado).

    IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyOverride" = *.local
    indica que Internet Explorer no va a usar el proxy para todas las direcciones de red interna.

    IE - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: "ProxyServer" = 0.0.0.0:80
    No es una IP regular pero 0.0.0.0 significa "cada IP que proporciona el equipo". Escucha en el loopback (127.0.0.1), así como la dirección de red interna. Muchas aplicaciones de AV crean un servidor de proxy para filtrar las salidas de correos..

Firefox:

========== FireFox ==========

Esta área muestra los ajustes del navegador Firefox a Internet.

Citar
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
FF - prefs.js..network.proxy.no_proxies_on: "localhost"

FF - HKLMsoftwaremozillaFirefoxExtensions{20a82645-c095-46ed-80e3-08825760534b}: c:WINDOWSMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaFirefoxExtensionsjqs@sun.com: C:Program FilesJavajre6libdeployjqsff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaFirefoxExtensions{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:program filesrealrealplayerbrowserrecordfirefoxext [2009/09/06 17:41:17 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaMozilla Firefox 3.0.14extensionsComponents: C:Program FilesMozilla Firefoxcomponents [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaMozilla Firefox 3.0.14extensionsPlugins: C:Program FilesMozilla Firefoxplugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaNetscape Browser 8.0.3.4ExtensionsComponents: C:Program FilesNetscapeNetscape BrowserComponents [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
FF - HKLMsoftwaremozillaNetscape Browser 8.0.3.4ExtensionsPlugins: C:Program FilesNetscapeNetscape BrowserPlugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]

Tomando algunos elementos en el ejemplo anterior podemos ver:
.


    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15

    estos están relacionados con la Consola de Sun Java
    .

    FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

    es un complemento para inicio rápido de Java
    .
    FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1

    Asistente de Microsoft .NET Framework para Firefox
    .
    FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
    Real Player
    .
    FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
    Skype
    .



O1 hasta e incluyendo O22 O24

Esta lista es muy similar a un registro de HijackThis y la referencia a HijackThis Tutorial & Guia se recomienda para artículos 01 a través de 020 y también el tema 024.

010 Esto requiere una explicación adicional: a diferencia de HijackThis, OTL eliminará las entradas de catálogo que se incluyen en la reparación y a continuación, reordena la pila de winsock por lo que no habrá un eslabón roto de la cadena LSP, es decir, usted puede utilizar OTL para corregir estos elementos.

Opciones de Ejecución de una imagen de archivo O27

Elementos de listas bajo Opciones de ejecución de archivos de HKey_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options

Explicación aquí.

O28 Hooks de ejecución en shell

HKey_Local_MachineSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

Estos se cargan cada vez que inicie un programa (mediante el Explorador de Windows o por llamar a la función de ShellExecute(Ex)). Este módulo de inicio como los otros módulos DLL de inicio es notificado del programa que usted inicia y que puede realizar cualquier tarea adicional antes que el programa en realidad inicie.

O29 proveedores de seguridad

Listas de elementos bajo HKey_Local_MachineSYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders

    O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 | -H-D | M]
    O29 - HKLM SecurityProviders - (digiwet.dll) - File not found


Estos son ejemplos de los malos. Tenga mucho cuidado! porque elementos legítimos se muestra aquí también.

O30 Lsa

Listas de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrollsa

    O30 - LSA: Authentication Packages - (C:WINDOWSsystem32opnnLbaA.dll) - C:WINDOWSSystem32opnnLbaA.dll File not found



Lo anterior es un ejemplo de una mala.

Nota: Los elementos LSA 32 bits comparados a 64 bits:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (kerberos) - C:WindowsSysNativekerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:WindowsSysNativeschannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:WindowsSysNativewdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:WindowsSysNativetspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:WindowsSysWow64kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (schannel) - C:WindowsSysWow64schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:WindowsSysWow64wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:WindowsSysWow64tspkg.dll (Microsoft Corporation)

Para los elementos que se encuentran en la rama de HKLMSystem del registro, hay sólo un valor, pero será interpretado de forma diferente por aplicaciones de 32 bits y aplicaciones de 64 bits. En los ejemplos anteriores se puede ver que las interpretaciones de 64 bits se verá a los archivos en la carpeta Sysnative (las carpetas system32 de 64 bits) y las interpretaciones de 32 bits se verá en la carpeta syswow64 (la carpeta system32 de 32 bits). Si elimina cualquiera de estos elementos afectará a las operaciones tanto de 32 bits y de 64 bits. Eliminación de una o de las otras líneas parecidas se elimina el elemento de la ubicación del registro único pero sólo se movera el archivo de la línea seleccionada. A continuación si desea quitar ambos archivos para la coincidencia de elementos parecidos como estas, entonces incluya las dos en la reparación. Es importante comprender donde están ubicados los elementos en el registro para determinar si un elemento de registro único es leído por las aplicaciones de 32 bits y de 64 bits. Lo que usted podría encontrar en una situación como ésta es que el archivo apuntado por la interpretación de 32 bits es malo, pero la interpretación de 64 bits está muy bien (la mayoría de malware sólo afecta a aplicaciones de 32 bits debido a que el sistema operativo de 64 bits no permite cambios en sus archivos). Dado que el valor del registro es compartido por ambos no desea eliminarlo debido a que podría causar problemas en el sistema.

Ahora tome este ejemplo de los elementos LSA anteriores:

O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll ()
O30:64bit: - LSA: Security Packages - (kerberos) - C:WindowsSysNativekerberos.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (msv1_0) - C:WindowsSysNativemsv1_0.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (schannel) - C:WindowsSysNativeschannel.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (wdigest) - C:WindowsSysNativewdigest.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (tspkg) - C:WindowsSysNativetspkg.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:WindowsSysWow64kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:WindowsSysWow64msv1_0.dll ()
O30 - LSA: Security Packages - (schannel) - C:WindowsSysWow64schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:WindowsSysWow64wdigest.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (tspkg) - C:WindowsSysWow64tspkg.dll (Microsoft Corporation)

En este ejemplo se puede ver que se ha comprometido el archivo msv1_0.dll para la interpretación de 32 bits. Debería ser un archivo de Microsoft, pero en este caso ha sido sustituido por un archivo desconocido. En esta situación usted desea eliminar sólo el archivo de C:WindowsSysWow64msv1_0.dll pero NO la entrada del Registro. También habría que sustituir el Msv1_0.dll malo con uno válido, ya que se requiere para soporte de aplicaciones.

O31 Modo Seguro a prueba de fallos (SafeBoot)

Listas de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetSafeBoot

Archivos de O32 Autorun en las unidades

Acceso a un dispositivo removible infectado, como una thumb drive o unidad flash a través de "Mi PC" (al hacer clic en la unidad) hará que un autorun.inf se ejecute.

Dependiendo de la ejecución automática /configuración de reproducción automática, entonces, el usuario puede ser engañado en ejecutar un archivo incorrecto, cuando le aparece un diálogo en la inserción Haciendo clic en un icono en el "usar este programa para ejecutar" un programa no legítimo agrega al archivo autorun.inf en esa unidad que se puede ejecutar.

Algunos malware agrega archivos autorun.inf en la raíz de todas las unidades lógicas.

O33 MountPoints2

Listas de elementos bajo HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

O34 BootExecute

Listas de elementos bajo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager

O35 shell spawning values

En la base de windows en la listas de valores para .com y .exe configuración del registro (no otras extensiones).

Elementos de O35 (como cualquier otro elemento en el análisis de registro) simplemente se pueden colocar en la sección de :OTL, de una reparación, (en los del registro de Extras no puede).

Con la infecion de Win police Pro se verá un nombre de archivo en lugar de la "% 1" % *. Si lo ves, entonces incluir estas líneas en la reparación.

O36 appcert dlls

Lista de elementos bajo HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession managerappcertdlls key

Asociaciones de archivos de O37 (para valores comfile y exefile )

Listas de archivo de asociaciones de valores para la configuración del registro de .com y .exe de la base de windows.

Las asociaciones de archivos en la base de windows están íntimamente entrelazadas. Los elementos de O35 muestran los valores de la base de windows (.com y .exe) y los elementos de O37 muestran las asociaciones de archivo (.com y .exe).

Puede ver estos valores si se ejecuta el análisis de registro extra, pero cuando no puede verlos entonces estos valores pueden estar ocultos. La línea de O37 le ofrece la capacidad para ver esto incluso cuando no se ejecuta el análisis de registro adicional.

El valor de la Asociación de archivo es un valor predeterminado único que apuntará al valor de la base de windows. Es el valor de la base de windows donde se pueden configurar ejecutables adicionales para ejecutar tipos de archivo específicos a través de la asociación. Por ejemplo la Asociación de archivos del usuario para los archivos .exe debe estar apuntando a .exe pero el malware puede cambiarlo para que apunte a una nueva clave de desove que está cargando un "archivo malo". El archivo debe aparecer en los análisis de archivo, pero sólo mover ese archivo y no fijar el valor de la Asociación creará una situación donde no se pueden ejecutar archivos .exe.

Cuando ponga elementos para eliminación aquí, OTL establecerá a cualquier usuario .com HKLM o configuración de asociación de archivo .exe de vuelta a los valores predeterminados, pero elimina .com con cualquier usuario o las claves de asociación de archivos .exe y siempre establece el shell HKLM desove de configuración a la normalidad.

Nota: Si la clave de desove está en la rama del usuario del registro, a continuación, siempre se eliminará automáticamente, pero que necesitará quitar el archivo por separado. El archivo debe aparecer en los análisis de archivo y usted puede hacerse cargo de allí. Si la clave de desove aparece con el error de Reg: error de clave y es el malware y, a continuación, también debe incluir una línea en la sección :REG para eliminarlo de la sección HKLM sólo por seguridad.

Ejemplo de la eliminación de un valor incorrecto de la sección HKLM.

:reg
[-hkey_local_machinesoftwareclasses"badfile"]

y tenga cuidado del archivo desde los análisis de archivo o de la sección :Files

Actualizado: 05.01.2015


Título: Re: Tutorial de análisis del PC con OTL de OldTimer.
Publicado por: r32 en 10 Agosto 2012, 23:10
Ejemplo de comando de análisis personalizados predefinidos.

NetSvcs

Enumera las entradas bajo HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost - netsvcs

Nota: Microsoft coloca una lista predeterminada de servicios en este valor de regitry durante la instalación. No todos los servicios son necesariamente instalados en cada máquina. Las entradas de 'no se encontró el servicio ' / ' no se encontró el archivo' son comunes.

Prestar especial atención a las firmas de los archivos que se enumeran en este análisis.

    NetSvcs: BtwSrv - C:WINDOWSSystem32BtwSrv.dll (X-Ways Software Technology)
    NetSvcs: 6to4 - C:WINDOWSSystem326to4v32.dll ()
    NetSvcs: Ias - Service key not found. File not found
    NetSvcs: Iprip - Service key not found. File not found
    NetSvcs: Irmon - Service key not found. File not found
    NetSvcs: NWCWorkstation - Service key not found. File not found
    NetSvcs: Nwsapagent - Service key not found. File not found
    NetSvcs: Wmi - Service key not found. File not found
    NetSvcs: WmdmPmSp - Service key not found. File not found
    NetSvcs: helpsvc - C:WINDOWSPCHealthHelpCtrBinariespchsvc.dll (Microsoft Corporation)


En el ejemplo anterior vemos:

helpsvc - C:WINDOWSPCHealthHelpCtrBinariespchsvc.dll (Microsoft Corporation) Es legítimo
BtwSrv - C:WINDOWSSystem32BtwSrv.dll (X-Ways Software Technology) No es legítimo. Cuidado! - mientras que esto es malo, no todos los archivos que "no son" de Microsoft no son malos. Compruebe siempre la autenticidad.
6to4 - C:WINDOWSSystem326to4v32.dll () No es legítimo.

Análisis de archivo

Hay un número de opciones que puede elegir para los análisis de archivo estándar creado, modificado (estos no se aplican a cualquier análisis personalizados):


    Edad de Archivo - Por defecto, esto es fijado a 30 días (90 días para un examen rápido), pero esto se puede cambiar a cualquier número de rangos predefinidos desde 1 día hasta 360 días (opciones disponibles son las 1,7,14,30, 60,90,180,360) cuando la opción Edad de Archivo se elige en el plazo de los archivos creados o modificados en los archivos escaneados.
    Utilice listas blancas de nombre de empresa reconocidas - fuera de forma predeterminada para los análisis estándar y en por defecto para un análisis rápido. La lista blanca de nombre de empresa es una lista de alrededor de 150 nombres de empresa que filtrará los archivos que contienen estos nombres si esta opción está seleccionada.
    Omitir archivos de Microsoft - desactivado por defecto para los análisis estándar y en por defecto para un análisis rápido. Si, todos los archivos con un nombre de empresa, que incluyendo Microsoft se filtrarán fuera de la salida.
    Creación de archivos en /analiza los archivos modificados desde adentro - el archivo estándar. Estos se pueden desactivar si la opción ninguno es elegido; utilice la anterior configuración de edad de archivo, si la opción de la edad de archivo es elegida (el predeterminado); y incluye todos los archivos, si se elige la opción todos.
    Buscar LOP - desactivado de forma predeterminada para los análisis estándar y en por defecto para la detección rápida. Este análisis explora la carpeta de datos de programa de todos los usuarios y la carpeta de datos del usuario y muestran todos los archivos, y todas las carpetas presenten no en la lista blanca LOP (una lista de carpetas de alrededor de 160 que han sido considerado seguro) y todos los archivos en la carpeta de tareas de Windows.
    Buscar Purity - desactivado de forma predeterminada para los análisis estándar y en por defecto para la detección rápida. Este análisis busca todas las ubicaciones conocidas en el que la infecion pureza crea archivos y carpetas y hace un listado de lo que encuentra.


Puede indicar al usuario que defina cualquiera de estas opciones a los valores que se desea lograr cualquier resultados que estás buscando.

En un registro

========== Archivos o carpetas - creadas dentro de 30 días ==========

Muestra los archivos/carpetas creadas dentro de un período seleccionado.

========== Archivos - modificados dentro de 30 días ==========

El período predeterminado es de 30 días, pero hay una gama de opciones disponibles ampliar fuera a 360 días de antigüedad.

Nota: OTL mostrará el nombre de la compañía del archivo. Sólo porque lo dice, por ejemplo, que es de Microsoft Corporation, no necesariamente es válido. Malware puede ser escrito con firmas de todo tipo de diferentes empresas válidas.

Nota 2: En algunos registros de un archivo se mostrará en los análisis de archivos creado y modificado pero también decir "Identificador de archivo no visto por sistema operativo". Esto ocurre cuando un identificador de archivo en el archivo no puede ser proporcionado por el sistema operativo. Se trata de cómo las propiedades de archivo como nombre de la empresa y se recogen los atributos. El archivo existe, pero algo está impidiendo abrir un identificador a ella. Esto puede ser un indicador de algún tipo de actividad de invicible o rootkit. Más investigación es necesaria.

Nota 3: Los análisis de archivos creados, modificados también incluyan todos los archivos en la carpetas de datos, la carpeta archivos de programa y la carpeta archivos de programa común. Normalmente no debería haber ningún archivos directamente en estas carpetas. Muchas infecciones modifican los atributos de la fecha de archivo a algo mucho más de lo que realmente son ocultar su presencia de los escáneres que busque sólo en la fecha de archivo/veces. Esto debe recoger aquellos.

========== Archivos - sin nombre de la empresa ==========

Muestra cualquier .exe, .dll,. ini, etc. archivos de cualquier fecha que no tienen un nombre de empresa.

========== Buscar LOP ==========

La comprobación de Lop enumera todos los archivos y carpetas en las carpetas de datos, así como los archivos en WINDOWSTasks.

Cualquier ejecución de O4 desde la carpeta de datos donde los archivos y los nombres de las carpetas son completamente aleatorios y no tienen sentido es probable que sean LOP.

Un filtro LOP se incluye para filtrar las carpetas de buenas conocidas durante el análisis LOP

========== Buscar Purity ==========

Verificación de pureza es un simple análisis con ninguna salida si no se encuentra. la infección de pureza ha sido bastante coherente a lo largo de los años y tiene una lista definida de carpetas que se crea en el conjuntos de ubicaciones. OTL comprueba todas las ubicaciones para todas las carpetas y sólo informes sobre cualquier elementos encontrados.

========== Secuencias de datos alternativas ==========

Alternate Data Streams secuencias de datos alternativos se enumeran.

Cualquier archivo o carpeta encontró que contiene una secuencia de datos alternativa durante cualquier análisis (estándar o personalizado) será colocado en esta lista. Se omiten los ADS de ZONE.IDENTIFIER, FAVICON y ENCRYPTABLE.

Para quitar un ADS simplemente copiar y pegar la línea en la sección :OTL de una reparación.

========== Archivos - Unicode (todos) ==========

Un ejemplo podría tener este aspecto:

[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:N?mesList.txt) -- c:N?mesList.txt

Cualquier archivo o carpeta encontró que contienen caracteres durante cualquier análisis (estándar o personalizado) será colocados en esta lista de Unicode. Sólo incluye la línea en la sección :OTL y OTL se encargará de ellos, como cualquier otro archivo.

Registro Addicional (Extras log)

========== Registro extra ==========

========== Asociaciones de archivos ==========

Muestra el tipo de archivo y el tipo de exttensiones del archivo que esta asociado junto con la aplicación que se utiliza en el comando Abrir (por ejemplo, archivos .txt o archivos .reg)

========== Shell Spawning ==========

Interfaz de listas que genera valores para Todas las extensiones de archivo.

Ejemplo siguiente muestra el resultado de un análisis que no muestra ninguna infección:

    [HKEY_LOCAL_MACHINESOFTWAREClasses<key>shell[command]command]
    batfile [open] -- "%1" %* File not found
    chm.file [open] -- "C:WINDOWShh.exe" %1 (Microsoft Corporation)
    cmdfile [open] -- "%1" %* File not found
    comfile [open] -- "%1" %* File not found
    exefile [open] -- "%1" %* File not found
    htmlfile [edit] -- Reg Error: Key error.
    htmlfile [open] -- "C:Program FilesInternet Exploreriexplore.exe" -nohome (Microsoft Corporation)

    El siguiente ejemplo muestra la infecion de Win police Pro:

        [HKEY_LOCAL_MACHINESOFTWAREClasses<key>shell[command]command]
        batfile [open] -- "%1" %* File not found
        chm.file [open] -- "C:WINDOWShh.exe" %1 (Microsoft Corporation)
        cmdfile [open] -- "%1" %* File not found
        comfile [open] -- "%1" %* File not found
        exefile [open] -- "C:WINDOWSSystem32desote.exe" %* ()
        htmlfile [edit] -- Reg Error: Key error.
        htmlfile [open] -- "C:Program FilesInternet Exploreriexplore.exe" -nohome (Microsoft Corporation)


    El primer elemento (por ejemplo, exefile) es la clave y el segundo elemento (por ejemplo, abierto) es el comando. Si ves eso, debe corregirlo con el [command de <key>] valor predeterminado de la clave manualmente en la revisión. Para la configuración de comfile y exefile puede utilizar las líneas de O35 desde el análisis de registro estándar y simplemente incluirlos en la sección :OTL.

    Al preparar una corrección, para corregir los valores en la concha de desolve siempre se incluyen en la sección de :reg. Incluya lo siguiente como parte de la revisión:
    When preparing a fix, ALWAYS include a :reg section to fix the shell spawning values. Include the following as part of the fix:

    :reg
    [HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
    ""=""%1" %*"

    Si no hacemos esto, el usuario podría ser capaz de volver a iniciar Windows sin ningún problema pero todavía no será capaz de ejecutar cualquier archivo con extension .exe.
    Nota: Para archivos .com y .exe, si ha solucionado esto mediante el elemento de O35, a continuación, no es necesario incluir la corrección de :reg para estos dos tipos.

    Ejemplo de una reparación incorrecta:

Código:Seleccionar todo el código
    :OTL
    PRC - C:WINDOWSsvchasts.exe ()
    SRV - (AntipPro2009_100 [Auto | Running]) -- C:WINDOWSsvchasts.exe ()
    O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:WINDOWSSystem32dddesot.dll (ASC - AntiSpyware)
    [2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:WINDOWSSystem32sysnet.dat
    [2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:WINDOWSSystem32bincd32.dat
    [2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:WINDOWSSystem32dddesot.dll
    [2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:WINDOWSsvchasts.exe
    [2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:WINDOWSppp4.dat
    [2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:WINDOWSSystem32bennuar.old
    [2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:WINDOWSppp3.dat
    [2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:WINDOWSSystem32desote.exe
    [2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:Documents and Settingssome userDesktopWindows Police Pro.lnk
    [2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:Program FilesWindows Police Pro
    :commands
    [Reboot]



Ejemplo de una reparación correcta:

Código:Seleccionar todo el código
    :OTL
    PRC - C:WINDOWSsvchasts.exe ()
    SRV - (AntipPro2009_100 [Auto | Running]) -- C:WINDOWSsvchasts.exe ()
    O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:WINDOWSSystem32dddesot.dll (ASC - AntiSpyware)
    [2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:WINDOWSSystem32sysnet.dat
    [2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:WINDOWSSystem32bincd32.dat
    [2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:WINDOWSSystem32dddesot.dll
    [2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:WINDOWSsvchasts.exe
    [2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:WINDOWSppp4.dat
    [2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:WINDOWSSystem32bennuar.old
    [2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:WINDOWSppp3.dat
    [2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:WINDOWSSystem32desote.exe
    [2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:Documents and Settingssome userDesktopWindows Police Pro.lnk
    [2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:Program FilesWindows Police Pro

    :reg
    [HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
    ""=""%1" %*"
    :commands
    [Reboot]



========== Configuración del Centro de Seguridad ==========

========== Lista de aplicaciones Autorizadas ==========

========== Lista de Unistall HKEY_LOCAL_MACHINE ==========

< Fin del informe >

>> Referencia rápida de las directivas y comandos disponibles <<

NOTA: Las directivas y comandos no distinguen entre mayúsculas y minúsculas.


:Procesos

Usando esta directiva los procesos pueden ser detenidos ya sean todos o individualmente.

Si usted no incluye el comando [EMPTYTEMP], pero todavía quiere matar a todos los procesos antes de ejecutar una solución entonces el comando killallprocesses puede ser colocado en esta sección.


Ejemplos de procesos individuales: Es posible que usted desee utilizar esta directiva para detener - TeaTimer, SpywareGuard u otro programa anti-malware, o cualquier proceso relacionados con el malware.

:OTL

Todas las líneas en un registro de cualquiera de las exploraciones estándar o escaneos personalizados para los ficheros y carpetas se pueden copiar y pegar directamente en la sección de :OTL para reparación o eliminación. En general :OTL quita la entrada y mueve el archivo al mismo tiempo. Para los procesos, sin embargo, los archivos no se moverán y deberán ser tratados en la sección de :FILES

Los elementos individuales en el archivo HOSTS (O1 líneas) sólo pueden ser borrados en la sección de :OTL. Si desea restablecer el archivo HOSTS para el valor predeterminado (sólo el localhost 127.0.0.1 y:: 1 localhost líneas) entonces use el comando [resethosts] en la sección :commands.

Para cualquiera de los elementos del explorardor IE, los datos en el valor del registro se borrará - el valor no se eliminará.


:Servicios

Los servicios

OTL tratara de detener y deshabilitar todos los servicios funcionando antes de eliminarlos. Sin embargo, es importante tener en cuenta que OTL puede tener problemas para hacer esto en contra de algunas de las piezas más desagradable de malware. En el caso de que esta directiva es incapaz de detener el servicio a continuación, tendrá que deshabilitar el proceso en modo seguro o a través de otro método.

Usted también puede eliminar los controladores en esta directiva. Asegúrese de utilizar el nombre al eliminar cualquiera de los servicios o controladores y no la descripción.

:Registro

Aquí usted puede hacer cualquier tipo de reparacón a su registro. Una característica práctica es que usted no tiene que hacer frente a valores hexadecimales. Para los arreglos complejos, que usted no está seguro puede usar el texto para lo que usted desea que la clave/valor debe tener.

Consulte el siguiente ejemplo:

Mala entrada: -

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"authentication packages"=msv1_0 C:WINDOWSsystem32byXoMcbC

para solucionar este problema en un archivo .reg necesitaría hacer esto:

REGEDIT4

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00

Si no esta seguro de qué valor hexadecimal usar y no quiere arriesgarse a estropear esa clave, usted podría hacer esto:

Ejemplo de Corrección: -

:reg
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"Authentication Packages"=hex(7):"msv1_0"

OTL se encargará de la conversión y la clave de registro será fijo.


:Archivos

Los archivos

Todos los archivos y carpetas que ha introducido manualmente se colocan debajo de esta directiva. No copiar y pegar cualquier archivo/carpeta de líneas a partir del registro en este ámbito (esos van abajo de la directiva :OTL). Esto es sólo para los archivos adicionales o las carpetas que quiera mover (es decir, los archivos de un proceso que desea mover o aquellos que vienen de otros registros).

Nota: No hay comando separado para las carpetas utilizando OTL. Solo incluya la carpeta abajo de la directiva :Files y será eliminada.


:Commands

Comandos deben de estar abajo de la directiva :Commands.

[PURITY] - automáticamente elimina las infecciones de purity en el sistema. La infecion purity tiene un cuadro persistente de las carpetas creadas con caracteres Unicode y este comando es para eliminar todo lo que se encuentra de esa infecion sin necesidad de listar cada carpeta en forma individual.


[EMPTYTEMP] - para vaciar todas las carpetas temporales de el usuario, el sistema y el navegador.
Nota: si este comando está incluido en una reparación a continuación, todos los procesos serán matados automáticamente al principio de una reparación y un reinicio se requerirá al final por lo que no es necesario incluir explícitamente el proceso Explorer.exe en la sección de :PROCESESS o los comandos: [START EXPLORER] o [REBOOT] en la sección de :COMMANDS.


[EMPTYFLASH] - para eliminar todas las cookies de Flash.
Nota: No todas las cookies de flash son malas. Algunas sólo contienen varias configuraciones para los sitios específicos de la web, pero usted no puede estar seguro de lo que hace cada una. Si utiliza el comando de arriba todas las cookies serán eliminadas, independientemente de lo que hacen.


[REBOOT] - para forzar un reinicio del sistema después de una reparación completa.
Nota: esto no es necesario si KILLALLPROCESSES se utiliza en la sección :PROCESOS o [EMPTYTEMP] se utiliza en la sección :COMMANDS porque reiniciará automáticamente obligado de todos modos. Puede ser incluido, pero se ignora en estos casos.


[RESETHOSTS] - para restaurar el archivo HOSTS de nuevo a su valor por defecto de:
127.0.0.1 localhost
:: 1 localhost

El archivo anfitrion actual se moverá a una subcarpeta de la carpeta MovedFiles, la que está asociada con la reparación.


[CREATERESTOREPOINT] - esto creará un punto de restauración actual después de la reparación se haya completado.


[CLEARALLRESTOREPOINTS] - esto eliminará todos los puntos de restauración actual y creará un nuevo punto de restauración después de la reparación se haya completado.

Con cualquiera de los comandos de los puntos de restauración, OTL los examinará para ver si los servicios adecuados de mantenimiento que se requiere para crear un punto de restauración están funcionando y tratara de empezarlos si no lo están. Si los servicios necesarios no se están ejecutando y no se puede iniciar podrás ver una línea en la revisión ded registro relativo a la razón por la cual y tendrán que hacer un análisis en un momento posterior.

Nota: También puede utilizar los dos últimos comandos en un análisis. Es importante recordar que si se utiliza en un análisis que los paréntesis no están incluidos es decir, si se ejecuta en una exploración que se vería así: -

clearallrestorepoints o createrestorepoint

Ponga bien CREATERESTOREPOINT o CLEARALLRESTOREPOINTS en la ventana de análisis personalizados/Script de Reparacción junto con cualquier medida standard o otras exploraciones que se están ejecutando (es decir, SAFEBOOTMINIMAL o netsvcs). Los comandos no son sensibles y se puede ejecutar con cualquier análisis que usted pueda querer a correr. Una línea en el archivo de registro le mostrará cuál fue el resultado (ya sea con éxito y sin la razón por la que falló).


Switches


Interruptores

Los interruptores son parámetros adicionales que se pueden usar tanto con escaneos personalizados o correcciones para mejorar lo que sale al final de un resultado de una correcion.


Nota: Si usted incluye un interruptor no válido, una línea (Interruptor no válido :...) simplemente se coloca en el registro y la exploración continuará. Si el interruptor está mostrando como no válido, de hecho, es correcto, a continuación, compruebe el número de la versión de OTL que se está utilizando.

Modificadores que pueden ser utilizados para realizar una exploración personalizada:

/C - para ejecutar un comando de DOS de línea de comandos
Ejemplo:
set /c - para devolver todas las variables de entorno
<nombredelservicio> net stop /c - OTL no iniciara o detenndra los servicios (sólo los elimina) para que pueda usar este interruptor con el comando net para llevar a cabo alguna tarea de gestión de servicios (iniciar, detener, pausar, continuar)
netstat-r /c - mostrará las tablas de enrutamiento

Cualquier comando que usted necesita para ser utilizado en una línea de comandos se puede utilizar dentro de una exploración personalizada mediante el modificador /C y en el resultado se incluirá en el registro. Esto puede eliminar la necesidad de que el usuario haga y ejecute archivos batch y luego encontrar y publicar los archivos de salida creados a partir de ellos.

/FP - para ejecutar un archivo/nombre de la carpeta patrón de búsqueda y regresar todos los archivos y carpetas que se encuentran
Ejemplo:
c:windows|myfile;true;true;true /FP

Ejemplo:
myfile es el patrón a buscar (volverá artículos como c:windowsmyfile.exe c:windows123myfile456.dat c:windowsnotmyfileeither )
carpetas para incluir (también se incluyen artículos como c:windowssystem32 helpmyfile.dll, c:windowsMSAgentintlclosetomyfile.ocx)
incluir carpetas hijas (si es verdadero y una carpeta se encuentra que coincida con el patrón de continuación, las carpetas inmediata por debajo de ella se mostrarán también)
incluir archivos (si los archivos con nombres de verdad que coincidan con el patrón se mostrarán, si falsos entonces las carpetas sólo se mostrarán)


El modificador /FP se utiliza internamente para algunas exploraciones únicos que se requieren durante las exploraciones estándar y la mayoría de los ayudantes probablemente no tendrá necesidad de ella, pero que puede hacer cosas muy interesantes con él así que pensé que sólo la pondría a disposición de uso. Elimina la necesidad de ejecutar dos escaneos separados (uno para las carpetas y otra para los archivos) si tiene que buscar todos los elementos de ambos.

/MD5 - para incluir los valores de MD5 para todos los archivos
Usted verá esto siendo usado extensivamente en la Guía de Limpieza de Malware para encontrar los archivos parchados. En este momento hay infecciones que modifican los archivos del OS de una manera que son difíciles de detectar en cualquier otra forma. MD5s son un valor único matemático que se puede calcular para un archivo y determinar el si o no si se a modificado. Aun si un solo byte en un archivo se cambia el MD5 calculado también cambiará. Algunos ejemplos de la guía son:

    %SYSTEMDRIVE%iaStor.sys /s /md5
    %SYSTEMDRIVE%nvstor.sys /s /md5
    %SYSTEMDRIVE%atapi.sys /s /md5
    %SYSTEMDRIVE%IdeChnDr.sys /s /md5


Valores de MD5 no se almacenan en archivos, se han calculado sobre la marcha de los archivos. Las exploraciones del ejemplo de arriba búsqua la unidad de todo el sistema para el archivo especificado y devolvera todos los archivos que se encuentran con sus valores MD5 calculado. Si el MD5 del fichero en la carpeta de funcionamiento normal (es decir, system32 o system32drivers) es diferente de aquel en las carpetas de copia de seguridad (es decir, la carpeta dllcache o la carpeta i386) entonces el archivo es más probable que este "parchado". Si el MD5 vuelve como nada, entonces es casi una garantía de que el archivo ha sido parcheado y debe ser reemplazado con una copia válida de uno de los otros lugares usando una herramienta como Avenger. Usando el valor MD5 puede estar seguro de que el archivo es legítimo.

/MD5START y /MD5STOP - para envolver alrededor de los archivos a buscar.

Ejemplo:
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop

Esto le permite comprobar los archivos que desee, sin la necesidad de incluir todas sus rutas ya que si el análisis mira estos interruptores siempre comenzará en la raíz de el systemdrive y escaneara todo el disco. Esto hace que todos los archivos se junten y mirará por cada archivo en su paso por cada carpeta de modo que sólo un pasada de la unidad del disco duro se necesita.

Si hay un número de archivos que usted está buscando para comprobar el MD5 entonces usando /md5start y /md5stop es mucho más eficiente y produce un registro más limpio. Si sólo hay uno o dos artículos a continuación, /md5 sera Suficiente.

Nota: Cada vez que el bloque /md5start /md5stop es usado las búsquedas también podran ver cualquier servicepack. Cab. Si alguno de estos se encuentra, se verá en el interior para el archivo que se busca, y si uno se encuentra, lo mostrara en la siguiente lista del resultado. si este no es el caso de búsqueda sólo se utiliza /md5..


/LOCKEDFILES - para encontrar archivos bloqueados que MD5 no puede calcular.

La exploración simplemente coge el archivo y intenta calcular el MD5 y si no puede, reporta el resultado, saltando todos los archivos de MD5 que no puede obtener.

Nota:Usted Deberá proporcionar una ruta/o especificación del archivo asi como de cualquier otro archivo escaneado y el interruptor /S, si también quiere ir a través de la sub-carpetas. Así que si quería ver que archivos .dll están bloqueados sólo en la carpeta system32 se debería utilizar:

%systemroot%system32*.dll /lockedfiles

Si por alguna razón todos los archivos deben ser verificados (Windows normalmente tendrá un número de archivos bloqueados de forma predeterminada y, a menos que exista una razón particular, no es necesario para verlos todos), entonces sólo tiene que añadir el interruptor /all

ejemplo:
%systemroot%system32*.dll /lockedfiles /all

/RS - para realizar una búsqueda de Registro para un patrón
Ejemplo:
hklmsoftwaremicrosoftwindowscurrentversion|somepattern /RS

El modificador /rs buscará y devolvera todas las claves, nombres de los valores, y los datos encontrados para el patrón incluido. Si un punto de partida no se incluye (por ejemplo, somepattern /rs), entonces se buscará en las siguientes áreas:

hklmsoftwareclasses
hklmsoftwaremicrosoft
hklmsoftwarepolicies
hklmsystemcurrentcontrolset
hkcusoftwareclasses
hkcusoftwaremicrosoft
hkcusoftwarepolicies

Siempre es preferible especificar un punto de partida para la búsqueda.


/RP - para buscar todo tipo de puntos de reanálisis

Ejemplo: c:windows*.* /RP or c:windows*. /RP

o

Ejemplo: c:windows*. /RP /s

Uso de este parámetro se mostrarán todos los puntos de análisis (como los utilizados por la actual infección de max++) y los resultados pueden ser simplemente colocados en la sección de :OTL para reparación que deben eliminarse. Con /s se incluye a través de todas las subcarpetas.

/HL - para buscar sólo los enlaces duros

Ejemplo:
c:windows*.* /HL or c:windows*. /HL


/JN - para buscar sólo uniones

Ejemplo:
c:windows*.* /JN or c:windows*. /JN


/MP - para buscar sólo los puntos de montaje

Ejemplo:
c:windows*.* /MP or c:windows*. /MP

Al momento de escribir un análisis muy útil que puedes agregar a su análisis personalizados sería:

%systemroot%*. /mp /s

Esto podra encontrar todos los puntos de montajes de la infecion actual con su exploración inicial de max++ en un sistema (o una exploración posterior) y se podía eliminar con su reparación inicial.

/SL - sólo para buscar enlaces simbólicos

Ejemplo:
c:windows*.* /SL or c:windows*. /SL

/SP - para realizar una búsqueda similar de cadena desde adentro de archivos

Ejemplo:
c:windows*.*|somepattern /SP

Tiempo atras este comando WinPFind, se utilizaba muy a menudo para encontrar firmas de malware en los archivos. Actualmente no se utiliza mucho, pero todavía está disponible.

/S - para incluir subcarpetas en una búsqueda de archivos o claves de sub-registro

Ejemplo:
c:windows*.dat /S
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesACPI /S

Este código también se utiliza a menudo en conjunto con los códigos MD5 / o / U para incluir subcarpetas en una búsqueda de archivos.

/U - para incluir sólo los archivos Unicode en una búsqueda
Ejemplo:
c:windows*.* /U

Los archivos y carpetas con los valores Unicode en sus nombres frecuentemente se ven como elementos legítimos en el Explorador. Durante las exploraciones estándar, OTL colocará automáticamente todos los archivos o carpetas que se encuentran con valores de Unicode en la sección de un registro Unicode y estos pueden ser reparados tan fácilmente como cualquier otro archivo o carpeta con sólo colocar las líneas en la sección :OTL en la ventana de reparación . Usando muchas exploraciónes, los nombres de estos archivos o carpetas no se interpreten adecuadamente y se mostrará con un signo de interrogación: ? donde los caracteres Unicode son lo que hace imposible determinar qué quitar. OTL se encarga de eso para usted. El uso del modificador /U en una exploración personalizada devolverá sólo los archivos y carpetas encontrados que contienen caracteres Unicode en sus nombres.

Un ejemplo de un resultado es:
< c:*.* /U >

========== Files - Unicode (All) ==========
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:N?mesList.txt) -- c:NamesList.txt

/X - para excluir archivos de una búsqueda
Ejemplo:
c:windows*.exe /X

Esto excluirá todos los archivos .Exe y mostrara todo lo demás.

/64 - específicamente para búscar en carpetas 64bit o claves del Registro en sistemas operativos de 64 bits
Ejemplo:
c:windowssystem32*.dat /64
hklmsoftwaremicrosoftwindowscurrentversionrun /64

Debido a que OTL es una aplicación de 32 bits, si el interruptor /64 no se utiliza cuando se escanea en un SO de 64 bits, el sistema operativo pasará automáticamente la exploración a las áreas de 32-bit del sistema de archivos o el registro en su caso. Este interruptor se anula tal comportamiento por defecto y forza la exploración de las áreas de 64-bit cuando sea necesario.

/<some number> - para incluir sólo los archivos o carpetas con una cierta cantidad de días de edad
Ejemplo:
c:windowssystem32*.* /3

Mirando el ejemplo de arriba, esta exploración sólo devolverá los archivos creados en los últimos 3 días.

Commands/Switches


Comandos/Interrumptores que se pueden usar en la secion de :FILES al realizar una reparación:

[override] and [stopoverride] - para anular la lista interna de archivos o carpetas que no son móvibles
Ejemplo:
:FILES
[override]
c:windowssystem32userinit.exe
[stopoverride]

OTL incluye una lista de alrededor de 100 archivos y carpetas que no se pueden mover de forma predeterminada. Esto es para evitar mover inadvertidamente archivos o carpetas principales del sistema operativo que podrían hacer que un sistema no inicie o o lo haga inutilizable. Esta característica puede ser anulada mediante estos comandos, pero tenga mucho cuidado al incluirlos. Un comando [stopoverride] siempre debe incluirse lo antes posible, siempre que el comando de [reemplazar] se utiliza para evitar que se mueva por error un archivo interno requerido del sistema.


/<some number> - al igual que en análisis personalizados, este parámetro agregara todos los archivos similares que coinciden y también limita los movimientos a los archivos o carpetas que se han creado dentro del número especificado de días.
Ejemplo:
:FILES
c:windowssystem32*.dll /2

Esto moverá todos los archivos .dll en la carpeta system32 que se han creado dentro de 2 días. Puede ser muy útil pero también puede ser peligroso. Aquí tenga cuidado con el uso de este modificador.

/64 - para acceder a los lugares específicos de la carpeta 64-bit en lugar de las ubicacion por defecto de 32 bits en sistemas operativos de 64 bits y si el archivo se encuentra moverla de allí.
Ejemplo:
:FILES
c:windowssystem32badfile.exe /64

Esto hará que OTL busque en la carpeta de 64-bit system32 en lugar de en el de 32-bit system32.

@ - Para eliminar secuencias de datos alternos.
Ejemplo:
:FILES
@c:windowssystem32:somedatastream

Normalmente no se necesita usar esto en OTL en el caso que una exploración se aya realizada con OTL, porque todos los archivos con ADSs se enumeran en la sección Alternate Data Streams del registro y usted puede simplemente copiar y pegar las líneas en la sección :OTL en la reparación. Si una exploración se realizó con otra herramienta que no permite soluciones o no puede quitar ADSs entonces usted puede reparar los archivos con este comando en la sección :Files.

/C - para ejecutar un comando de DOS en línea de comandos

Es poco probable que este parámetro se utiliza a menudo. Otros interruptores / comandos cubren la mayoría de estas cosas ... por ejemplo, para copiar un archivo que normalmente se utiliza el parámetro /replace en vez de un comando de DOS. Sin embargo puede haber ocasiones en que sería útil. Por ejemplo, es posible que desee detener un servicio temporal (en vez de eliminarlo - con el comando :Services para facilitarlo) en cuyo caso se puede utilizar un comando de DOS.
Ejemplo:
:files
net stop <service> /c
<do something here>
net start <service> /c

/D - para eliminar el archivo en lugar de moverlo
Ejemplo:
:Files
% programfiles%*. dll /D

Esto eliminará todos los archivos que se ajusten a la especificación en lugar de moverlos. Un lugar común el uso de esto es con los archivos .tmp pero se puede utilizar con cualquier archivo o mover carpetas. ¡Ten cuidado!


/E - Para extraer un determinado archivo de un archivo .cab archivo.
Ejemplo:
:FILES
C:WINDOWSDriver Cachei386sp3.cab:atapi.sys /E

Siempre será extraído a la raíz de la unidad del sistema, no hay ninguna opción para extraerlo en cualquier otro lugar. De allí, usted puede utilizar el parámetro /replace para reemplazar el archivo actual activo con el archivo extraído. Esto siempre será un proceso de dos pasos porque el archivo activo, no podría ser sustituido de inmediato y en ese caso un reinicio del systema se requiere y el paso /replace se hará cargo de ello.

El proceso completo que permite extraer un archivo y reemplazar el archivo actual activo en la carpeta de los conductores seran algo como:
Ejemplo:
:files
C:WINDOWSDriver Cachei386sp3.cab:atapi.sys /e
C:WINDOWSsystem32driversatapi.sys|c:atapi.sys /replace

Nota: Asegúrese siempre de poner el paso de extracción antes del paso de sustitución o no funcionará!.

/lsp - Para eliminar un archivo desde LSP.
Ejemplo:
:Files
helper32.dll /lsp
winhelper86.dll /lsp

Para cada línea, OTL pasará a través de toda la pila, quite todas las entradas que incluyen ese archivo, y si se quitan seria reconstruida la pila.

/replace

<original file>|<new file> /replace

Ejemplo:

:files
C:WINDOWSSystem32driversatapi.sys|c:atapi.sys /replace
<original file>|<new file> /replace

Si el archivo no puede ser sustituido de inmediato (que podría estar en uso) a continuación, tendrá reiniciar el sistema para terminar el movimiento.

Los archivos originales y los nuevos no necesitan tener el mismo nombre o incluso ser del mismo tipo.

Nota: Cuidado que esto funciona de manera diferente a FCopy:: en la herramienta de ComboFix es decir, en el nuevo archivo viene al final - al revés de ComboFix.


Nota 2: Si usted está tratando de mover un archivo desde un archivo cab que tendrá que ser extraído antes de reemplazar el archivo malo - ver /E anterior.

/S - para recurrir a sub-carpetas y eliminar todos los archivos encontrados conforme a la especificación
Ejemplo:
:FILES
c:windows*.dat /S

Esto eliminará todos .dat en la carpeta c:windows y todas las subcarpetas

/U - para mover sólo los archivos o carpetas con caracteres Unicode en sus nombres
Ejemplo:

:FILES
c:windows?ystem32 /U
%commonprogramfiles%s?stem /U
c:windowsexpl?rer.exe /U /S

Cada uno de estos comandos sólo moverá el archivo o la carpeta que contiene caracteres Unicode en la posición de la? y no tocará ningún archivo legítimo o carpetas con un nombre coincidente con el patrón. Normalmente aparecerán los archivos o carpetas como este con la infección Purity (donde puede simplemente usar el comando [purity] en la sección de :commands), pero podría haber otros archivos o carpetas que requieren este tipo de movimiento también.

Cualquiera de estos interruptores se pueden mezclar y combinar para satisfacer las necesidades específicas de la situación.

CleanUp


Use el boton de Limpiar en OTL para remover las herramientas o reportes despues que ya no se necesitan. Es preferible descargar OTC cuando ninguna herramienta de OldTimer esta presente en su maquina.

Esta es al lista de herramientas que se borraran de su computadora si se encuentran presente:

TDSSKiller
TDSSKiller.zip
TDSSKiller.exe
TDSSKiller*.txt
!Killbox
*.run
_backupD
_OTL
_OTListIt
_OTM
_OTMoveIt
_OTS
_OTScanIt
404fix.exe
Avenger
avenger.exe
avenger.txt
avenger.zip
AWF.txt
BFU
bfu.zip
catchme
catchme.exe
ckscanner
cleanup.txt
ComboFix
ComboFix*.txt
combofix.exe
combo-fix.exe
Combo-Fix.sys
dds.com
dds.pif
dds.scr
Deckard
defogger
delete.bat
deljob
deljob.exe
dss.exe
dumphive.exe
erdntsubs
exehelper
Extras.txt
fdsv.exe
FindAWF.exe
fixwareout
fixwareout.exe
fsbl*.log
fsbl.exe
gmer
gmer.dll
gmer.exe
gmer.ini
gmer.log
gmer.sys
gmer_uninstall.cmd
grep.exe
haxfix.exe
haxfix.txt
iedfix.exe
killbox.exe
logit.txt
Lop SD
lopR.txt
LopSD.exe
moveex.exe
nircmd.exe
NoLop.exe
NoLop.txt
NoLopOLD.txt
OTH.exe
OTL.exe
OTL.txt
OTListIt.txt
OTListIt2.exe
OTLPE
OTM.exe
OTMoveIt.exe
OTMoveIt2.exe
OTMoveIt3.exe
OTS.exe
OTS.txt
OTScanIt
OTScanIt.exe
OTScanIt2
OTScanIt2.exe
OTViewIt.exe
OTViewIt.txt
QooBox
rapport.txt
Rooter$
Rooter.exe
Rooter.txt
RSIT
RSIT.exe
Runscanner
Runscanner.exe
Runscanner.net
Runscanner.zip
Rustbfix
rustbfix.exe
SDFix
sdfix.exe
sed.exe
Silent Runners.vbs
SmitfraudFix
SmitfraudFix.exe
swreg.exe
Swsc.exe
Swxcacls.exe
SysInsite
systemlook
tmp.reg
vacfix.exe
vcclsid.exe
VFind.exe
VundoFix Backups
VundoFix.exe
vundofix.txt
vundofix.vft
win32delfkil.exe
windelf.txt
WinPfind
winpfind.exe
WinPFind35u
WinPFind35u.exe
WinPFind3u
WinPFind3u.exe
WS2Fix.exe
zip.exe

Cualquier modificación referente al tutorial o programa se hará en este mismo tema.

(http://i398.photobucket.com/albums/pp69/minimal34/elhacker/wifiway-01-100x100-1.png)
EHN

Saludos.


Título: Re: Tutorial de análisis del PC con OTL de OldTimer.
Publicado por: cisgom en 26 Marzo 2015, 21:51
Hola, quisiera saber si pueden ayudarme. Hice un analisis a mi laptop con OTM y no sé realmente qué hacer.Si me pueden ayudar a descifrar se lo agradecería.  el resultado fue el siguiente:
OTL logfile created on: 26/03/2015 20:01:36 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\César\Downloads
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19607)
Locale: 00000C0A | Country: España | Language: ESN | Date Format: dd/MM/yyyy
 
1,93 Gb Total Physical Memory | 0,73 Gb Available Physical Memory | 38,00% Memory free
4,10 Gb Paging File | 2,42 Gb Available in Paging File | 59,03% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 110,05 Gb Total Space | 11,24 Gb Free Space | 10,22% Space Free | Partition Type: NTFS
Drive D: | 110,07 Gb Total Space | 44,43 Gb Free Space | 40,37% Space Free | Partition Type: NTFS
 
Computer Name: CÉSAR1 | User Name: César | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\César\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Users\César\AppData\Roaming\Spotify\SpotifyWebHelper.exe (Spotify Ltd)
PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files\AVAST Software\Avast\avastui.exe (Avast Software s.r.o.)
PRC - C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_17_0_0_134.exe (Adobe Systems, Inc.)
PRC - C:\Program Files\AVAST Software\Avast\AvastSvc.exe (Avast Software s.r.o.)
PRC - C:\Users\CSAR~1\AppData\Local\Temp\RtkBtMnt.exe (Realtek Semiconductor Corp.)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\Acer\Acer Bio Protection\CompPtcVUI.exe (Arachnoid Biometrics Identification Group Corp.)
PRC - C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\System32\Macromed\Flash\NPSWF32_17_0_0_134.dll ()
MOD - C:\Program Files\AVAST Software\Avast\libcef.dll ()
MOD - C:\Program Files\AVAST Software\Avast\log.dll ()
MOD - C:\Program Files\AVAST Software\Avast\JsonRpcServer.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (NMIndexingService) -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe File not found
SRV - (MozillaMaintenance) -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (avast! Antivirus) -- C:\Program Files\AVAST Software\Avast\AvastSvc.exe (Avast Software s.r.o.)
SRV - (AvastVBoxSvc) -- C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe (Avast Software)
SRV - (yksvc) -- C:\Windows\System32\ykx32mpcoinst.dll (Marvell)
SRV - (SkypeUpdate) -- C:\Program Files\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (WDDriveService) -- C:\Program Files\Western Digital\WD Drive Manager\WDDriveService.exe (Western Digital)
SRV - (WDRulesService) -- C:\Program Files\Western Digital\WD SmartWare\WDRulesEngine.exe (Western Digital )
SRV - (WDFMEService) -- C:\Program Files\Western Digital\WD SmartWare\WDFME.exe (Western Digital )
SRV - (WDDMService) -- C:\Program Files\Western Digital\WD SmartWare\WDDMService.exe (WDC)
SRV - (Creative HOAL Licensing Service) -- C:\Program Files\Common Files\Creative Labs Shared\Service\CTHOALLicensing.exe (Creative Labs)
SRV - (Creative Audio Engine Licensing Service) -- C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe (Creative Labs)
SRV - (IGBASVC) -- C:\Program Files\Acer\Acer Bio Protection\BASVC.exe ()
SRV - (CTAudSvcService) -- C:\Program Files\Creative\Shared Files\CTAudSvc.exe (Creative Technology Ltd)
SRV - (ETService) -- C:\Program Files\Acer\Empowering Technology\Service\ETService.exe ()
SRV - (AgereModemAudio) -- C:\Windows\System32\agrsmsvc.exe (Agere Systems)
SRV - (eDataSecurity Service) -- C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (CLHNService) -- C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe ()
SRV - (RS_Service) -- C:\Program Files\Acer\Acer VCM\RS_Service.exe (Acer Incorporated)
SRV - (MobilityService) -- C:\Acer\Mobility Center\MobilityService.exe ()
SRV - (MSSQL$SONY_MEDIAMGR) -- C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (SQLAgent$SONY_MEDIAMGR) -- C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (ZTEusbser6k) -- system32\DRIVERS\ZTEusbser6k.sys File not found
DRV - (ZTEusbnmea) -- system32\DRIVERS\ZTEusbnmea.sys File not found
DRV - (ZTEusbmdm6k) -- system32\DRIVERS\ZTEusbmdm6k.sys File not found
DRV - (USBAAPL) -- System32\Drivers\usbaapl.sys File not found
DRV - (upperdev) -- system32\DRIVERS\usbser_lowerflt.sys File not found
DRV - (TFSysMon) -- system32\drivers\TfSysMon.sys File not found
DRV - (TfNetMon) -- C:\Windows\system32\drivers\TfNetMon.sys File not found
DRV - (TfFsMon) -- system32\drivers\TfFsMon.sys File not found
DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found
DRV - (massfilter) -- system32\drivers\massfilter.sys File not found
DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found
DRV - (aswSP) -- C:\Windows\System32\drivers\aswSP.sys (Avast Software s.r.o.)
DRV - (aswVmm) -- C:\Windows\System32\drivers\aswVmm.sys ()
DRV - (aswTdi) -- C:\Windows\System32\drivers\aswTdi.sys (Avast Software s.r.o.)
DRV - (aswRvrt) -- C:\Windows\System32\drivers\aswRvrt.sys ()
DRV - (aswMonFlt) -- C:\Windows\System32\drivers\aswMonFlt.sys (Avast Software s.r.o.)
DRV - (aswRdr) -- C:\Windows\System32\drivers\aswRdr.sys (Avast Software s.r.o.)
DRV - (aswHwid) -- C:\Windows\System32\drivers\aswHwid.sys ()
DRV - (aswSnx) -- C:\Windows\System32\drivers\aswSnx.sys (Avast Software s.r.o.)
DRV - (VBoxAswDrv) -- C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys (Avast Software)
DRV - (SmbDrvI) -- C:\Windows\System32\drivers\Smb_driver_Intel.sys (Synaptics Incorporated)
DRV - (dg_ssudbus) -- C:\Windows\System32\drivers\ssudbus.sys (DEVGURU Co., LTD.(www.devguru.co.kr))
DRV - (NETwNv32) -- C:\Windows\System32\drivers\NETwNv32.sys (Intel Corporation)
DRV - (IntcHdmiAddService) -- C:\Windows\System32\drivers\IntcHdmi.sys (Intel(R) Corporation)
DRV - (HWiNFO32) -- C:\Windows\System32\drivers\HWiNFO32.SYS (REALiX(tm))
DRV - (gfibto) -- C:\Windows\System32\drivers\gfibto.sys (GFI Software)
DRV - (aswKbd) -- C:\Windows\System32\drivers\aswKbd.sys (AVAST Software)
DRV - (WDC_SAM) -- C:\Windows\System32\drivers\wdcsam.sys (Western Digital Technologies)
DRV - (npf) -- C:\Windows\System32\drivers\npf.sys (CACE Technologies, Inc.)
DRV - (AlfaFF) -- C:\Windows\System32\drivers\AlfaFF.sys (Alfa Corporation)
DRV - (ATSWPDRV) -- C:\Windows\System32\drivers\atswpdrv.sys (AuthenTec, Inc.)
DRV - (NETw5v32) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation)
DRV - ({49DE1C67-83F8-4102-99E0-C16DCC7EEC796}) -- C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl (Cyberlink Corp.)
DRV - (JMCR) -- C:\Windows\System32\drivers\jmcr.sys (JMicron Technology Corp.)
DRV - (skfiltv) -- C:\Windows\System32\drivers\skfiltv.sys (Creative Technology Ltd.)
DRV - (AgereSoftModem) -- C:\Windows\System32\drivers\AGRSM.sys (Agere Systems)
DRV - (NTIPPKernel) -- C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys (Cyberlink Corp.)
DRV - (WSVD) -- C:\Program Files\Acer\Empowering Technology\eRecovery\wsvd.sys (Wasay)
DRV - (int15) -- C:\Windows\System32\drivers\int15.sys ()
DRV - (sscdmdm) -- C:\Windows\System32\drivers\sscdmdm.sys (MCCI)
DRV - (sscdmdfl) -- C:\Windows\System32\drivers\sscdmdfl.sys (MCCI)
DRV - (sscdbus) -- C:\Windows\System32\drivers\sscdbus.sys (MCCI)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.es.acer.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.cooxer.com/
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://www.searchqu.com/web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://google.es/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\SearchScopes,DefaultScope = {8E72B607-A52C-47DA-892C-BC44F9AA5579}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ATU3&o=15380&src=crm&q={searchTerms}&locale=es_BR&apn_ptnrs=UJ&apn_dtid=YYYYYYYYBR&apn_uid=3964F0B7-5245-46DD-89E7-44935A9BAF04&apn_sauid=707626E5-6A0F-4F34-B25F-6E6848382247
IE - HKCU\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60429
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://securedsearch2.lavasoft.com/results.php?pr=vmn&id=adawaretb&v=3_4&hsimp=yhs-lavasoft&ent=ch&q={searchTerms}
IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}: "URL" = http://www.searchqu.com/web?src=ieb&q={SearchTerms}
IE - HKCU\..\SearchScopes\{8E72B607-A52C-47DA-892C-BC44F9AA5579}: "URL" = http://es.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=293224&p={searchTerms}
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http://www.searchqu.com/web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
IE - HKCU\..\SearchScopes\{9F34E000-9D12-4936-89F1-EFA1B51467FD}: "URL" = http://search.avg.com/route/?d=4cdab0b3&v=6.10.6.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us
IE - HKCU\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = http://es.search.yahoo.com/search?p={searchTerms}&fr=chr-acer
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.countryCode: "ES"
FF - prefs.js..browser.search.region: "ES"
FF - prefs.js..browser.startup.homepage: "http://www.google.es/"
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:36.0.4
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_17_0_0_134.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=11.31.2: C:\Program Files\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=11.31.2: C:\Program Files\Java\jre1.8.0_31\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3555.0308: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@Skype Technologies S.A..com/Skype Web Plugin: C:\Program Files\SkypeWebPlugin\npSkypeWebPlugin.dll (Skype)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@veetle.com/vbp;version=0.9.17: C:\Program Files\Veetle\VLCBroadcast\npvbp.dll File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.8: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.1.3: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.1.5: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\AVAST Software\Avast\WebRep\FF [2015/03/23 19:59:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 36.0.4\extensions\\Components: C:\Program Files\Mozilla Firefox\components
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 36.0.4\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2014/11/10 20:02:28 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2013/09/10 22:51:11 | 000,000,000 | ---D | M]
 
[2013/09/11 12:38:08 | 000,000,000 | ---D | M] (No name found) -- C:\Users\César\AppData\Roaming\mozilla\Extensions
[2015/03/24 21:39:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\César\AppData\Roaming\mozilla\Firefox\Profiles\mrreh0lt.default-1427228924103\extensions
[2014/11/10 20:02:25 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2014/11/10 20:02:25 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\{7AB6D133-2A14-4C11-B3AD-35B1548D38F9}
[2014/11/10 20:02:23 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\browser\extensions
[2015/03/24 21:41:01 | 000,000,000 | ---D | M] (Default) -- C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2008/11/11 08:38:54 | 000,663,552 | ---- | M] (BitComet) -- C:\Program Files\mozilla firefox\plugins\npBitCometAgent.dll
[2012/06/28 16:42:00 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinned}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&gs_ri={google:suggestRid}&xssi=t&q={searchTerms}&{google:cursorPosition}{google:currentPageUrl}{google:pageClassification}sugkey={google:suggestAPIKeyParameter},
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\35.0.1916.153\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\35.0.1916.153\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\35.0.1916.153\pdf.dll
CHR - plugin: BitCometAgent (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npBitCometAgent.dll
CHR - plugin: Windows Genuine Advantage (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npLegitCheckPlugin.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
CHR - plugin: Winamp Application Detector (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npwachk.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\5.1.20513.0\npctrl.dll
CHR - plugin: Microsoft Office Live Plug-in for Firefox (Enabled) = C:\Program Files\Microsoft\Office Live\npOLW.dll
CHR - plugin: Skype Web Plugin (Enabled) = C:\Program Files\SkypeWebPlugin\npSkypeWebPlugin.dll
CHR - plugin: VLC Web Plugin (Enabled) = C:\Program Files\VideoLAN\VLC\npvlc.dll
CHR - plugin: Windows Live™ Photo Gallery (Enabled) = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32_11_8_800_168.dll
CHR - plugin: Java Deployment Toolkit 7.0.50.5 (Enabled) = C:\Windows\system32\npDeployJava1.dll
CHR - Extension: Google Docs = C:\Users\César\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.5_0\
CHR - Extension: Google Drive = C:\Users\César\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0\
CHR - Extension: YouTube = C:\Users\César\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.6_0\
CHR - Extension: Búsqueda de Google = C:\Users\César\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.20_0\
CHR - Extension: Google Wallet = C:\Users\César\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda\0.0.6.1_0\
CHR - Extension: Gmail = C:\Users\César\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2006/09/18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.8.0_31\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (avast! Online Security) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (Avast Software s.r.o.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre1.8.0_31\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (no name) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O4 - HKLM..\Run: [AvastUI.exe] C:\Program Files\AVAST Software\Avast\AvastUI.exe (Avast Software s.r.o.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [Spotify Web Helper] C:\Users\César\AppData\Roaming\Spotify\SpotifyWebHelper.exe (Spotify Ltd)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SoftwareSASGeneration = 1
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1A2437EB-B322-4A83-BC0E-3294CD5676BD}: DhcpNameServer = 192.168.1.1 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1A2437EB-B322-4A83-BC0E-3294CD5676BD}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B1F8BB55-4AC3-4CB6-8FA8-023BCD5CF774}: DhcpNameServer = 192.168.1.1 192.168.1.1
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL) -  File not found
O20 - Winlogon\Notify\AWinNotifyVitaKey MC3000: DllName - (C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll) - C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll (Arachnoid Biometrics Identification Group Corp.)
O24 - Desktop WallPaper: C:\Users\César\AppData\Roaming\Microsoft\Windows Photo Gallery\Papel tapiz de Galería fotográfica de Windows.jpg
O24 - Desktop BackupWallPaper: C:\Users\César\AppData\Roaming\Microsoft\Windows Photo Gallery\Papel tapiz de Galería fotográfica de Windows.jpg
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/09/18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.ffds - ffdshow.ax File not found
Drivers32: VIDC.FMVC - C:\Windows\System32\fmcodec.DLL (Fox Magic Software)
Drivers32: vidc.tscc - C:\Windows\System32\tsccvid.dll (TechSmith Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2015/03/23 19:59:39 | 000,291,312 | ---- | C] (Avast Software s.r.o.) -- C:\Windows\System32\aswBoot.exe
[2015/03/19 15:14:19 | 000,000,000 | ---D | C] -- C:\Users\César\Desktop\piano reading
[2015/03/18 09:36:18 | 000,000,000 | ---D | C] -- C:\Windows\System32\vbox
[2015/03/17 09:39:20 | 000,043,112 | ---- | C] (Avast Software s.r.o.) -- C:\Windows\avastSS.scr
[2015/03/12 10:11:00 | 000,369,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\WMPhoto.dll
[2015/03/12 10:03:26 | 002,064,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2015/03/12 09:48:18 | 000,296,960 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\atmfd.dll
[2015/03/12 09:48:18 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\System32\atmlib.dll
[2015/03/12 09:44:37 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll
[2015/03/12 09:44:36 | 003,604,408 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2015/03/12 09:44:33 | 003,552,184 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2015/03/11 20:53:49 | 000,348,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dxtmsft.dll
[2015/03/11 20:53:49 | 000,216,576 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dxtrans.dll
[2015/03/11 20:53:39 | 000,385,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\html.iec
[2015/03/11 20:53:38 | 001,469,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2015/03/11 20:53:38 | 000,630,272 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2015/03/11 20:53:37 | 000,630,784 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll
[2015/03/11 20:53:35 | 000,387,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll
[2015/03/11 20:53:35 | 000,164,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2015/03/11 20:53:34 | 000,184,320 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll
[2015/03/11 20:53:34 | 000,133,632 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2015/03/11 20:53:33 | 000,109,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesysprep.dll
[2015/03/11 20:53:33 | 000,105,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2015/03/11 20:53:33 | 000,071,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iesetup.dll
[2015/03/11 20:53:32 | 000,174,080 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ie4uinit.exe
[2015/03/11 20:53:32 | 000,055,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iernonce.dll
[2015/03/11 20:53:32 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll
[2015/03/11 20:53:32 | 000,043,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\licmgr10.dll
[2015/03/11 20:53:32 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2015/03/11 20:53:32 | 000,019,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\corpol.dll
[2015/03/11 20:53:32 | 000,013,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe
[2015/03/11 20:53:31 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2015/03/05 10:26:26 | 000,000,000 | ---D | C] -- C:\Users\César\Desktop\simply piano
[4 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Users\César\AppData\Local\*.tmp files -> C:\Users\César\AppData\Local\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2015/03/26 20:17:00 | 000,000,838 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2015/03/26 19:57:00 | 000,001,088 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2015/03/26 19:17:03 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2015/03/26 19:17:03 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2015/03/26 12:57:01 | 000,001,084 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2015/03/26 09:16:59 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2015/03/26 09:16:56 | 2072,911,872 | -HS- | M] () -- C:\hiberfil.sys
[2015/03/25 09:52:47 | 000,739,106 | ---- | M] () -- C:\Windows\System32\perfh00A.dat
[2015/03/25 09:52:47 | 000,652,592 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2015/03/25 09:52:47 | 000,162,868 | ---- | M] () -- C:\Windows\System32\perfc00A.dat
[2015/03/25 09:52:47 | 000,128,012 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2015/03/24 22:34:24 | 000,001,715 | ---- | M] () -- C:\Users\César\Desktop\Spotify.lnk
[2015/03/24 22:26:16 | 000,114,904 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\MBAMSwissArmy.sys
[2015/03/23 20:01:03 | 000,001,749 | ---- | M] () -- C:\Users\Public\Desktop\Avast Free Antivirus.lnk
[2015/03/18 09:40:09 | 000,778,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2015/03/18 09:40:08 | 000,142,512 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2015/03/17 09:39:39 | 000,427,480 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\System32\drivers\aswSP.sys
[2015/03/17 09:39:39 | 000,206,976 | ---- | M] () -- C:\Windows\System32\drivers\aswVmm.sys
[2015/03/17 09:39:39 | 000,057,888 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\System32\drivers\aswTdi.sys
[2015/03/17 09:39:39 | 000,049,904 | ---- | M] () -- C:\Windows\System32\drivers\aswRvrt.sys
[2015/03/17 09:39:38 | 000,073,440 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\System32\drivers\aswMonFlt.sys
[2015/03/17 09:39:38 | 000,055,200 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\System32\drivers\aswRdr.sys
[2015/03/17 09:39:38 | 000,024,144 | ---- | M] () -- C:\Windows\System32\drivers\aswHwid.sys
[2015/03/17 09:39:20 | 000,291,312 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\System32\aswBoot.exe
[2015/03/17 09:39:20 | 000,043,112 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\avastSS.scr
[2015/03/17 09:38:33 | 000,788,272 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\System32\drivers\aswSnx.sys
[2015/03/12 10:31:12 | 000,393,776 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2015/03/08 23:06:00 | 005,072,032 | ---- | M] () -- C:\Users\César\Desktop\manual-of-scales-arpeggios-broken-chords-140814180102-phpapp02.pdf
[2015/03/08 22:44:48 | 009,163,927 | ---- | M] () -- C:\Users\César\Desktop\keyboardpianochordsscales-100622162444-phpapp01.pdf
[2015/03/08 22:41:36 | 017,441,260 | ---- | M] () -- C:\Users\César\Desktop\Como_tocar_el_piano.pdf
[2015/02/26 03:01:43 | 003,604,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2015/02/26 03:01:43 | 003,552,184 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2015/02/26 01:18:25 | 002,064,384 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2015/02/25 18:17:55 | 1260,154,899 | ---- | M] () -- C:\Users\César\Desktop\Annabelle.DVD.XviD.[www.DivxTotaL.com].avi
[2015/02/25 17:56:27 | 724,801,040 | ---- | M] () -- C:\Users\César\Desktop\Daniel Abrams - Practicing And Performing (A Pianist Guide).avi
[4 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
[1 C:\Users\César\AppData\Local\*.tmp files -> C:\Users\César\AppData\Local\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2015/03/24 22:34:24 | 000,001,715 | ---- | C] () -- C:\Users\César\Desktop\Spotify.lnk
[2015/03/08 23:05:55 | 005,072,032 | ---- | C] () -- C:\Users\César\Desktop\manual-of-scales-arpeggios-broken-chords-140814180102-phpapp02.pdf
[2015/03/08 22:44:39 | 009,163,927 | ---- | C] () -- C:\Users\César\Desktop\keyboardpianochordsscales-100622162444-phpapp01.pdf
[2015/03/08 22:41:31 | 017,441,260 | ---- | C] () -- C:\Users\César\Desktop\Como_tocar_el_piano.pdf
[2015/03/03 23:43:43 | 1258,296,568 | R--- | C] () -- C:\Users\César\Desktop\Mortadelo y Filemon Contra Jimmy El Cachondo (2014)[TS-SCREENER][Castellano Mic][Animation].avi
[2015/02/25 23:26:04 | 1260,154,899 | ---- | C] () -- C:\Users\César\Desktop\Annabelle.DVD.XviD.[www.DivxTotaL.com].avi
[2015/02/25 23:23:36 | 724,801,040 | ---- | C] () -- C:\Users\César\Desktop\Daniel Abrams - Practicing And Performing (A Pianist Guide).avi
[2015/01/14 17:37:01 | 000,000,000 | -H-- | C] () -- C:\ProgramData\DP45977C.lfl
[2015/01/14 17:10:51 | 002,140,976 | ---- | C] () -- C:\Windows\System32\SStudio.dll
[2015/01/14 17:10:41 | 005,804,772 | ---- | C] () -- C:\Windows\System32\drivers\rtvienna.dat
[2015/01/14 17:10:29 | 001,099,203 | ---- | C] () -- C:\Windows\System32\drivers\RTAIODAT.DAT
[2015/01/14 17:09:24 | 000,029,496 | ---- | C] () -- C:\Windows\System32\audioLibVc.dll
[2015/01/14 17:09:23 | 000,188,696 | ---- | C] () -- C:\Windows\System32\AcpiServiceVnA.dll
[2014/04/28 21:47:57 | 000,024,144 | ---- | C] () -- C:\Windows\System32\drivers\aswHwid.sys
[2013/12/13 10:51:20 | 000,000,366 | ---- | C] () -- C:\Users\César\Vídeos - Acceso directo.lnk
[2013/08/25 11:30:00 | 000,217,176 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2013/05/02 19:25:08 | 550,504,019 | ---- | C] () -- C:\Users\César\video-2013-02-13-13-26-25.mp4
[2013/04/18 22:57:46 | 000,206,976 | ---- | C] () -- C:\Windows\System32\drivers\aswVmm.sys
[2013/04/18 22:57:43 | 000,049,904 | ---- | C] () -- C:\Windows\System32\drivers\aswRvrt.sys
[2012/11/19 18:40:40 | 158,602,243 | ---- | C] () -- C:\Users\César\Marvin Diz and Anthony Carrillo.mp4
[2012/03/12 21:57:34 | 000,486,659 | ---- | C] () -- C:\Users\César\C1.JPG
[2012/02/11 21:21:37 | 098,489,738 | ---- | C] () -- C:\Users\César\Paula Vaquera.avi
[2011/04/17 17:24:12 | 000,011,586 | -HS- | C] () -- C:\Users\César\AppData\Local\8148sho0v6mf7ar427sxb
[2011/04/17 17:24:12 | 000,011,586 | -HS- | C] () -- C:\ProgramData\8148sho0v6mf7ar427sxb
[2010/03/25 16:13:03 | 000,000,000 | ---- | C] () -- C:\Users\César\AppData\Local\prvlcl.dat
[2009/11/28 00:32:58 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2009/06/06 10:49:56 | 000,001,356 | ---- | C] () -- C:\Users\César\AppData\Local\d3d9caps.dat
[2009/03/16 20:54:31 | 000,026,340 | ---- | C] () -- C:\Users\César\AppData\Roaming\UserTile.png
[2009/03/14 12:26:40 | 000,002,299 | ---- | C] () -- C:\Users\César\AppData\Roaming\acervcmtmp.ini
[2009/03/11 13:24:09 | 000,038,400 | ---- | C] () -- C:\Users\César\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006/11/02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2015/02/18 03:02:58 | 011,587,584 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009/04/11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009/04/11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2009/03/11 10:54:50 | 000,000,000 | -HSD | M] -- C:\Users\César\AppData\Roaming\.#
[2010/03/06 20:05:08 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Acer
[2008/05/07 22:00:08 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Acer GameZone Console
[2013/09/09 22:50:13 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Ad-Aware Antivirus
[2011/01/18 01:51:10 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Ashampoo
[2014/11/23 23:31:57 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\AVAST Software
[2010/11/10 15:50:46 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\AVG10
[2014/11/22 13:30:59 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\BSplayer
[2014/11/22 13:12:45 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\BSplayer Pro
[2012/02/02 21:51:02 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\dBpoweramp
[2009/10/15 20:35:28 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\eSobi
[2009/09/28 17:24:55 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\FMZilla
[2012/02/02 17:04:43 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\FreeAudioPack
[2015/01/14 16:12:15 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\IObit
[2011/01/13 22:58:27 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Ivacy
[2009/12/16 20:36:23 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\LimeWire
[2012/10/30 16:47:30 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\MotionDSP
[2012/02/11 11:48:35 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\OfferBox
[2010/08/15 14:46:08 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Panda Security
[2009/03/16 20:54:30 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\PeerNetworking
[2011/04/28 21:33:47 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\PhotoScape
[2009/03/26 00:08:28 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Publish Providers
[2012/02/04 15:50:53 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\QuickScan
[2013/09/09 16:39:17 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\SecureSearch
[2013/11/13 19:11:28 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Sony
[2013/09/01 17:56:18 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Sony Creative Software Inc
[2015/03/24 22:38:03 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Spotify
[2013/03/11 01:59:27 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Thinstall
[2010/12/05 19:36:54 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Traductor
[2013/04/21 13:56:56 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\TuneUp Software
[2015/02/09 18:44:38 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\uTorrent
[2011/02/06 05:05:40 | 000,000,000 | ---D | M] -- C:\Users\César\AppData\Roaming\Windows Live Writer
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*.* >
[2006/09/18 22:43:36 | 000,000,024 | ---- | M] () -- C:\autoexec.bat
[2009/04/11 07:36:36 | 000,333,257 | RHS- | M] () -- C:\bootmgr
[2008/02/06 00:25:41 | 000,008,192 | R-S- | M] () -- C:\BOOTSECT.BAK
[2006/09/18 22:43:37 | 000,000,010 | ---- | M] () -- C:\config.sys
[2011/01/21 13:12:44 | 000,041,470 | ---- | M] () -- C:\CTSUFile.txt
[2014/11/22 13:16:20 | 000,000,009 | ---- | M] () -- C:\END
[2015/03/26 09:16:56 | 2072,911,872 | -HS- | M] () -- C:\hiberfil.sys
[2008/06/29 07:42:01 | 000,000,020 | ---- | M] () -- C:\Medion.ini
[2011/03/07 19:36:00 | 000,000,626 | ---- | M] () -- C:\NetworkCfg.xml
[2004/02/29 16:44:34 | 000,052,576 | ---- | M] () -- C:\orange.bmp
[2015/03/26 09:16:54 | 2386,706,432 | -HS- | M] () -- C:\pagefile.sys
[2008/06/29 07:38:05 | 000,000,058 | ---- | M] () -- C:\Partition.txt
[2008/06/24 19:20:46 | 000,002,968 | -HS- | M] () -- C:\Patch.rev
[2008/06/29 17:24:05 | 000,000,148 | RHS- | M] () -- C:\preload.rev
[2008/06/29 07:55:17 | 000,000,091 | ---- | M] () -- C:\PS.log
[2008/06/29 07:44:11 | 000,000,426 | ---- | M] () -- C:\RHDSetup.log
[2010/05/15 12:41:33 | 000,000,193 | ---- | M] () -- C:\Setup.log
[2014/09/17 11:43:42 | 000,000,324 | R--- | M] () -- C:\YukonInstall.log
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[4 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008/01/21 04:14:18 | 016,846,848 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2008/01/21 04:14:08 | 000,106,496 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2008/01/21 04:14:18 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006/11/02 11:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006/11/02 11:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV
 
< %systemroot%\system32\drivers\*.sys /180 >
[2015/03/17 09:39:38 | 000,024,144 | ---- | M] () -- C:\Windows\system32\drivers\aswHwid.sys
[2015/03/17 09:39:38 | 000,073,440 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\system32\drivers\aswMonFlt.sys
[2015/03/17 09:39:38 | 000,055,200 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\system32\drivers\aswRdr.sys
[2015/03/17 09:39:39 | 000,049,904 | ---- | M] () -- C:\Windows\system32\drivers\aswRvrt.sys
[2015/03/17 09:38:33 | 000,788,272 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\system32\drivers\aswSnx.sys
[2015/03/17 09:39:39 | 000,427,480 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\system32\drivers\aswSP.sys
[2015/03/17 09:39:39 | 000,057,888 | ---- | M] (Avast Software s.r.o.) -- C:\Windows\system32\drivers\aswTdi.sys
[2015/03/17 09:39:39 | 000,206,976 | ---- | M] () -- C:\Windows\system32\drivers\aswVmm.sys
[2015/01/14 16:12:15 | 000,023,840 | ---- | M] (REALiX(tm)) -- C:\Windows\system32\drivers\HWiNFO32.SYS
[2015/01/14 16:36:44 | 000,127,488 | ---- | M] (Intel(R) Corporation) -- C:\Windows\system32\drivers\IntcHdmi.sys
[2015/01/15 05:13:11 | 000,440,760 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\drivers\ksecdd.sys
[2014/11/21 06:14:06 | 000,023,256 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\system32\drivers\mbam.sys
[2014/11/21 06:14:10 | 000,075,480 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\system32\drivers\mbamchameleon.sys
[2015/03/24 22:26:16 | 000,114,904 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\system32\drivers\MBAMSwissArmy.sys
[2014/12/19 01:25:17 | 000,115,200 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\drivers\mrxdav.sys
[2014/11/21 06:14:16 | 000,051,928 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\system32\drivers\mwac.sys
[2015/01/14 16:42:46 | 007,346,176 | ---- | M] (Intel Corporation) -- C:\Windows\system32\drivers\NETwNv32.sys
[2015/01/14 17:10:39 | 003,086,040 | ---- | M] (Realtek Semiconductor Corp.) -- C:\Windows\system32\drivers\RTKVHDA.sys
[2015/01/14 16:47:27 | 000,038,768 | ---- | M] (Synaptics Incorporated) -- C:\Windows\system32\drivers\Smb_driver_Intel.sys
[2015/01/14 16:45:43 | 000,084,248 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) -- C:\Windows\system32\drivers\ssudbus.sys
[2015/01/14 16:30:15 | 000,311,296 | ---- | M] (Marvell) -- C:\Windows\system32\drivers\yk60x86.sys
 
< MD5 for: AGP440.SYS  >
[2008/01/21 03:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\drivers\AGP440.sys
[2008/01/21 03:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_51b95d75\AGP440.sys
[2008/01/21 03:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008/01/21 03:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008/01/21 03:23:01 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys
[2006/11/02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008/06/29 17:25:17 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=0D83C87A801A3DFCD1BF73893FE7518C -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_4c9c5a00\atapi.sys
[2008/06/29 17:25:17 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=0D83C87A801A3DFCD1BF73893FE7518C -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18034_none_dd1bb97e219e87cb\atapi.sys
[2009/04/11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\drivers\atapi.sys
[2009/04/11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
[2009/04/11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
[2008/01/21 03:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008/01/21 03:23:00 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
[2006/11/02 10:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
[2008/06/29 17:25:17 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=96DC4E1A9F90CCD489950A8935425C59 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.22134_none_dda556493abc2795\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2006/11/02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
[2006/11/02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll
 
< MD5 for: IASTORV.SYS  >
[2008/01/21 03:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\drivers\iaStorV.sys
[2008/01/21 03:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008/01/21 03:23:23 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys
[2006/11/02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2009/04/11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\System32\netlogon.dll
[2009/04/11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll
[2008/01/21 03:24:05 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll
 
< MD5 for: NVSTOR.SYS  >
[2006/11/02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys
[2008/01/21 03:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\drivers\nvstor.sys
[2008/01/21 03:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008/01/21 03:23:21 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2008/01/21 03:24:50 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll
[2009/04/11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\System32\scecli.dll
[2009/04/11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 189 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:15E76ABF
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:890CC2F3
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:C95B63DA
@Alternate Data Stream - 118 bytes -> C:\ProgramData\TEMP:CB0AACC9
@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:888AFB86


Título: Re: Tutorial de análisis del PC con OTL de OldTimer.
Publicado por: r32 en 5 Abril 2015, 01:40
Hola cisgom sería recomendable publicases el tema en un post a parte, ya que esto es tan solo el tutorial de funcionamiento.
De todas formas te comento lo ue he visto:

Esta entrada me resulta exraña, es de una página china:

Código:
DRV - (dg_ssudbus) -- C:\Windows\System32\drivers\ssudbus.sys (DEVGURU Co., LTD.(www.devguru.co.kr))

Veo algunas barras de busqueda que te podrías quitar,te recomendaría pasarte por este tema y descargar Malwarebytes (Actualizado y marcando la casilla busqueda de rootkits) y AdwCleaner:

https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

No estaría demás descragar algun antirootkit, los tienes en el mismo tema...

PD: Puedes subirnos los repoprtes de los logs para revisarlos, pero recuerda crearlo en un tema nuevo, gracias.

Saludos.