Ejemplo de comando de análisis personalizados predefinidos.NetSvcs
Enumera las entradas bajo HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost - netsvcs
Nota: Microsoft coloca una lista predeterminada de servicios en este valor de regitry durante la instalación. No todos los servicios son necesariamente instalados en cada máquina. Las entradas de 'no se encontró el servicio ' / ' no se encontró el archivo' son comunes.
Prestar especial atención a las firmas de los archivos que se enumeran en este análisis.
NetSvcs: BtwSrv - C:WINDOWSSystem32BtwSrv.dll (X-Ways Software Technology)
NetSvcs: 6to4 - C:WINDOWSSystem326to4v32.dll ()
NetSvcs: Ias - Service key not found. File not found
NetSvcs: Iprip - Service key not found. File not found
NetSvcs: Irmon - Service key not found. File not found
NetSvcs: NWCWorkstation - Service key not found. File not found
NetSvcs: Nwsapagent - Service key not found. File not found
NetSvcs: Wmi - Service key not found. File not found
NetSvcs: WmdmPmSp - Service key not found. File not found
NetSvcs: helpsvc - C:WINDOWSPCHealthHelpCtrBinariespchsvc.dll (Microsoft Corporation)
En el ejemplo anterior vemos:
helpsvc - C:WINDOWSPCHealthHelpCtrBinariespchsvc.dll (Microsoft Corporation) Es legítimo
BtwSrv - C:WINDOWSSystem32BtwSrv.dll (X-Ways Software Technology) No es legítimo. Cuidado! - mientras que esto es malo, no todos los archivos que "no son" de Microsoft no son malos. Compruebe siempre la autenticidad.
6to4 - C:WINDOWSSystem326to4v32.dll () No es legítimo.
Análisis de archivo
Hay un número de opciones que puede elegir para los análisis de archivo estándar creado, modificado (estos no se aplican a cualquier análisis personalizados):
Edad de Archivo - Por defecto, esto es fijado a 30 días (90 días para un examen rápido), pero esto se puede cambiar a cualquier número de rangos predefinidos desde 1 día hasta 360 días (opciones disponibles son las 1,7,14,30, 60,90,180,360) cuando la opción Edad de Archivo se elige en el plazo de los archivos creados o modificados en los archivos escaneados.
Utilice listas blancas de nombre de empresa reconocidas - fuera de forma predeterminada para los análisis estándar y en por defecto para un análisis rápido. La lista blanca de nombre de empresa es una lista de alrededor de 150 nombres de empresa que filtrará los archivos que contienen estos nombres si esta opción está seleccionada.
Omitir archivos de Microsoft - desactivado por defecto para los análisis estándar y en por defecto para un análisis rápido. Si, todos los archivos con un nombre de empresa, que incluyendo Microsoft se filtrarán fuera de la salida.
Creación de archivos en /analiza los archivos modificados desde adentro - el archivo estándar. Estos se pueden desactivar si la opción ninguno es elegido; utilice la anterior configuración de edad de archivo, si la opción de la edad de archivo es elegida (el predeterminado); y incluye todos los archivos, si se elige la opción todos.
Buscar LOP - desactivado de forma predeterminada para los análisis estándar y en por defecto para la detección rápida. Este análisis explora la carpeta de datos de programa de todos los usuarios y la carpeta de datos del usuario y muestran todos los archivos, y todas las carpetas presenten no en la lista blanca LOP (una lista de carpetas de alrededor de 160 que han sido considerado seguro) y todos los archivos en la carpeta de tareas de Windows.
Buscar Purity - desactivado de forma predeterminada para los análisis estándar y en por defecto para la detección rápida. Este análisis busca todas las ubicaciones conocidas en el que la infecion pureza crea archivos y carpetas y hace un listado de lo que encuentra.
Puede indicar al usuario que defina cualquiera de estas opciones a los valores que se desea lograr cualquier resultados que estás buscando.
En un registro
========== Archivos o carpetas - creadas dentro de 30 días ==========Muestra los archivos/carpetas creadas dentro de un período seleccionado.
========== Archivos - modificados dentro de 30 días ==========El período predeterminado es de 30 días, pero hay una gama de opciones disponibles ampliar fuera a 360 días de antigüedad.
Nota: OTL mostrará el nombre de la compañía del archivo. Sólo porque lo dice, por ejemplo, que es de Microsoft Corporation, no necesariamente es válido. Malware puede ser escrito con firmas de todo tipo de diferentes empresas válidas.
Nota 2: En algunos registros de un archivo se mostrará en los análisis de archivos creado y modificado pero también decir "Identificador de archivo no visto por sistema operativo". Esto ocurre cuando un identificador de archivo en el archivo no puede ser proporcionado por el sistema operativo. Se trata de cómo las propiedades de archivo como nombre de la empresa y se recogen los atributos. El archivo existe, pero algo está impidiendo abrir un identificador a ella. Esto puede ser un indicador de algún tipo de actividad de invicible o rootkit. Más investigación es necesaria.
Nota 3: Los análisis de archivos creados, modificados también incluyan todos los archivos en la carpetas de datos, la carpeta archivos de programa y la carpeta archivos de programa común. Normalmente no debería haber ningún archivos directamente en estas carpetas. Muchas infecciones modifican los atributos de la fecha de archivo a algo mucho más de lo que realmente son ocultar su presencia de los escáneres que busque sólo en la fecha de archivo/veces. Esto debe recoger aquellos.
========== Archivos - sin nombre de la empresa ==========Muestra cualquier .exe, .dll,. ini, etc. archivos de cualquier fecha que no tienen un nombre de empresa.
========== Buscar LOP ==========La comprobación de Lop enumera todos los archivos y carpetas en las carpetas de datos, así como los archivos en WINDOWSTasks.
Cualquier ejecución de O4 desde la carpeta de datos donde los archivos y los nombres de las carpetas son completamente aleatorios y no tienen sentido es probable que sean LOP.
Un filtro LOP se incluye para filtrar las carpetas de buenas conocidas durante el análisis LOP
========== Buscar Purity ==========Verificación de pureza es un simple análisis con ninguna salida si no se encuentra. la infección de pureza ha sido bastante coherente a lo largo de los años y tiene una lista definida de carpetas que se crea en el conjuntos de ubicaciones. OTL comprueba todas las ubicaciones para todas las carpetas y sólo informes sobre cualquier elementos encontrados.
========== Secuencias de datos alternativas ==========Alternate Data Streams secuencias de datos alternativos se enumeran.
Cualquier archivo o carpeta encontró que contiene una secuencia de datos alternativa durante cualquier análisis (estándar o personalizado) será colocado en esta lista. Se omiten los ADS de ZONE.IDENTIFIER, FAVICON y ENCRYPTABLE.
Para quitar un ADS simplemente copiar y pegar la línea en la sección :OTL de una reparación.
========== Archivos - Unicode (todos) ==========Un ejemplo podría tener este aspecto:
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:N?mesList.txt) -- c:N?mesList.txt
Cualquier archivo o carpeta encontró que contienen caracteres durante cualquier análisis (estándar o personalizado) será colocados en esta lista de Unicode. Sólo incluye la línea en la sección :OTL y OTL se encargará de ellos, como cualquier otro archivo.
Registro Addicional (Extras log)
========== Registro extra ==================== Asociaciones de archivos ==========Muestra el tipo de archivo y el tipo de exttensiones del archivo que esta asociado junto con la aplicación que se utiliza en el comando Abrir (por ejemplo, archivos .txt o archivos .reg)
========== Shell Spawning ==========Interfaz de listas que genera valores para Todas las extensiones de archivo.
Ejemplo siguiente muestra el resultado de un análisis que no muestra ninguna infección:
[HKEY_LOCAL_MACHINESOFTWAREClasses<key>shell[command]command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:WINDOWShh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:Program FilesInternet Exploreriexplore.exe" -nohome (Microsoft Corporation)
El siguiente ejemplo muestra la infecion de Win police Pro:
[HKEY_LOCAL_MACHINESOFTWAREClasses<key>shell[command]command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:WINDOWShh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "C:WINDOWSSystem32desote.exe" %* ()
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:Program FilesInternet Exploreriexplore.exe" -nohome (Microsoft Corporation)
El primer elemento (por ejemplo, exefile) es la clave y el segundo elemento (por ejemplo, abierto) es el comando. Si ves eso, debe corregirlo con el [command de <key>] valor predeterminado de la clave manualmente en la revisión. Para la configuración de comfile y exefile puede utilizar las líneas de O35 desde el análisis de registro estándar y simplemente incluirlos en la sección :OTL.
Al preparar una corrección, para corregir los valores en la concha de desolve siempre se incluyen en la sección de :reg. Incluya lo siguiente como parte de la revisión:
When preparing a fix, ALWAYS include a :reg section to fix the shell spawning values. Include the following as part of the fix:
:reg
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
""=""%1" %*"
Si no hacemos esto, el usuario podría ser capaz de volver a iniciar Windows sin ningún problema pero todavía no será capaz de ejecutar cualquier archivo con extension .exe.
Nota: Para archivos .com y .exe, si ha solucionado esto mediante el elemento de O35, a continuación, no es necesario incluir la corrección de :reg para estos dos tipos.
Ejemplo de una reparación incorrecta:
Código:Seleccionar todo el código
:OTL
PRC - C:WINDOWSsvchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:WINDOWSsvchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:WINDOWSSystem32dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:WINDOWSSystem32sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:WINDOWSSystem32bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:WINDOWSSystem32dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:WINDOWSsvchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:WINDOWSppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:WINDOWSSystem32bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:WINDOWSppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:WINDOWSSystem32desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:Documents and Settingssome userDesktopWindows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:Program FilesWindows Police Pro
:commands
[Reboot]
Ejemplo de una reparación correcta:
Código:Seleccionar todo el código
:OTL
PRC - C:WINDOWSsvchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:WINDOWSsvchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:WINDOWSSystem32dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:WINDOWSSystem32sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:WINDOWSSystem32bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:WINDOWSSystem32dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:WINDOWSsvchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:WINDOWSppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:WINDOWSSystem32bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:WINDOWSppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:WINDOWSSystem32desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:Documents and Settingssome userDesktopWindows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:Program FilesWindows Police Pro
:reg
[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
""=""%1" %*"
:commands
[Reboot]
========== Configuración del Centro de Seguridad ==================== Lista de aplicaciones Autorizadas ==================== Lista de Unistall HKEY_LOCAL_MACHINE ==========< Fin del informe >
>> Referencia rápida de las directivas y comandos disponibles <<
NOTA: Las directivas y comandos no distinguen entre mayúsculas y minúsculas.
:Procesos
Usando esta directiva los procesos pueden ser detenidos ya sean todos o individualmente.
Si usted no incluye el comando [EMPTYTEMP], pero todavía quiere matar a todos los procesos antes de ejecutar una solución entonces el comando killallprocesses puede ser colocado en esta sección.
Ejemplos de procesos individuales: Es posible que usted desee utilizar esta directiva para detener - TeaTimer, SpywareGuard u otro programa anti-malware, o cualquier proceso relacionados con el malware.
:OTL
Todas las líneas en un registro de cualquiera de las exploraciones estándar o escaneos personalizados para los ficheros y carpetas se pueden copiar y pegar directamente en la sección de :OTL para reparación o eliminación. En general :OTL quita la entrada y mueve el archivo al mismo tiempo. Para los procesos, sin embargo, los archivos no se moverán y deberán ser tratados en la sección de :FILES
Los elementos individuales en el archivo HOSTS (O1 líneas) sólo pueden ser borrados en la sección de :OTL. Si desea restablecer el archivo HOSTS para el valor predeterminado (sólo el localhost 127.0.0.1 y:: 1 localhost líneas) entonces use el comando [resethosts] en la sección :commands.
Para cualquiera de los elementos del explorardor IE, los datos en el valor del registro se borrará - el valor no se eliminará.
:Servicios
Los servicios
OTL tratara de detener y deshabilitar todos los servicios funcionando antes de eliminarlos. Sin embargo, es importante tener en cuenta que OTL puede tener problemas para hacer esto en contra de algunas de las piezas más desagradable de malware. En el caso de que esta directiva es incapaz de detener el servicio a continuación, tendrá que deshabilitar el proceso en modo seguro o a través de otro método.
Usted también puede eliminar los controladores en esta directiva. Asegúrese de utilizar el nombre al eliminar cualquiera de los servicios o controladores y no la descripción.
:Registro
Aquí usted puede hacer cualquier tipo de reparacón a su registro. Una característica práctica es que usted no tiene que hacer frente a valores hexadecimales. Para los arreglos complejos, que usted no está seguro puede usar el texto para lo que usted desea que la clave/valor debe tener.
Consulte el siguiente ejemplo:
Mala entrada: -
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"authentication packages"=msv1_0 C:WINDOWSsystem32byXoMcbC
para solucionar este problema en un archivo .reg necesitaría hacer esto:
REGEDIT4
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00
Si no esta seguro de qué valor hexadecimal usar y no quiere arriesgarse a estropear esa clave, usted podría hacer esto:
Ejemplo de Corrección: -
:reg
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"Authentication Packages"=hex(7):"msv1_0"
OTL se encargará de la conversión y la clave de registro será fijo.
:Archivos
Los archivos
Todos los archivos y carpetas que ha introducido manualmente se colocan debajo de esta directiva. No copiar y pegar cualquier archivo/carpeta de líneas a partir del registro en este ámbito (esos van abajo de la directiva :OTL). Esto es sólo para los archivos adicionales o las carpetas que quiera mover (es decir, los archivos de un proceso que desea mover o aquellos que vienen de otros registros).
Nota: No hay comando separado para las carpetas utilizando OTL. Solo incluya la carpeta abajo de la directiva :Files y será eliminada.
:Commands
Comandos deben de estar abajo de la directiva :Commands.
[PURITY] - automáticamente elimina las infecciones de purity en el sistema. La infecion purity tiene un cuadro persistente de las carpetas creadas con caracteres Unicode y este comando es para eliminar todo lo que se encuentra de esa infecion sin necesidad de listar cada carpeta en forma individual.
[EMPTYTEMP] - para vaciar todas las carpetas temporales de el usuario, el sistema y el navegador.
Nota: si este comando está incluido en una reparación a continuación, todos los procesos serán matados automáticamente al principio de una reparación y un reinicio se requerirá al final por lo que no es necesario incluir explícitamente el proceso Explorer.exe en la sección de :PROCESESS o los comandos: [START EXPLORER] o [REBOOT] en la sección de :COMMANDS.
[EMPTYFLASH] - para eliminar todas las cookies de Flash.
Nota: No todas las cookies de flash son malas. Algunas sólo contienen varias configuraciones para los sitios específicos de la web, pero usted no puede estar seguro de lo que hace cada una. Si utiliza el comando de arriba todas las cookies serán eliminadas, independientemente de lo que hacen.
[REBOOT] - para forzar un reinicio del sistema después de una reparación completa.
Nota: esto no es necesario si KILLALLPROCESSES se utiliza en la sección :PROCESOS o [EMPTYTEMP] se utiliza en la sección :COMMANDS porque reiniciará automáticamente obligado de todos modos. Puede ser incluido, pero se ignora en estos casos.
[RESETHOSTS] - para restaurar el archivo HOSTS de nuevo a su valor por defecto de:
127.0.0.1 localhost
:: 1 localhost
El archivo anfitrion actual se moverá a una subcarpeta de la carpeta MovedFiles, la que está asociada con la reparación.
[CREATERESTOREPOINT] - esto creará un punto de restauración actual después de la reparación se haya completado.
[CLEARALLRESTOREPOINTS] - esto eliminará todos los puntos de restauración actual y creará un nuevo punto de restauración después de la reparación se haya completado.
Con cualquiera de los comandos de los puntos de restauración, OTL los examinará para ver si los servicios adecuados de mantenimiento que se requiere para crear un punto de restauración están funcionando y tratara de empezarlos si no lo están. Si los servicios necesarios no se están ejecutando y no se puede iniciar podrás ver una línea en la revisión ded registro relativo a la razón por la cual y tendrán que hacer un análisis en un momento posterior.
Nota: También puede utilizar los dos últimos comandos en un análisis. Es importante recordar que si se utiliza en un análisis que los paréntesis no están incluidos es decir, si se ejecuta en una exploración que se vería así: -
clearallrestorepoints o createrestorepoint
Ponga bien CREATERESTOREPOINT o CLEARALLRESTOREPOINTS en la ventana de análisis personalizados/Script de Reparacción junto con cualquier medida standard o otras exploraciones que se están ejecutando (es decir, SAFEBOOTMINIMAL o netsvcs). Los comandos no son sensibles y se puede ejecutar con cualquier análisis que usted pueda querer a correr. Una línea en el archivo de registro le mostrará cuál fue el resultado (ya sea con éxito y sin la razón por la que falló).
Switches
Interruptores
Los interruptores son parámetros adicionales que se pueden usar tanto con escaneos personalizados o correcciones para mejorar lo que sale al final de un resultado de una correcion.
Nota: Si usted incluye un interruptor no válido, una línea (Interruptor no válido :...) simplemente se coloca en el registro y la exploración continuará. Si el interruptor está mostrando como no válido, de hecho, es correcto, a continuación, compruebe el número de la versión de OTL que se está utilizando.
Modificadores que pueden ser utilizados para realizar una exploración personalizada:
/C - para ejecutar un comando de DOS de línea de comandos
Ejemplo:
set /c - para devolver todas las variables de entorno
<nombredelservicio> net stop /c - OTL no iniciara o detenndra los servicios (sólo los elimina) para que pueda usar este interruptor con el comando net para llevar a cabo alguna tarea de gestión de servicios (iniciar, detener, pausar, continuar)
netstat-r /c - mostrará las tablas de enrutamiento
Cualquier comando que usted necesita para ser utilizado en una línea de comandos se puede utilizar dentro de una exploración personalizada mediante el modificador /C y en el resultado se incluirá en el registro. Esto puede eliminar la necesidad de que el usuario haga y ejecute archivos batch y luego encontrar y publicar los archivos de salida creados a partir de ellos.
/FP - para ejecutar un archivo/nombre de la carpeta patrón de búsqueda y regresar todos los archivos y carpetas que se encuentran
Ejemplo:
c:windows|myfile;true;true;true /FP
Ejemplo:
myfile es el patrón a buscar (volverá artículos como c:windowsmyfile.exe c:windows123myfile456.dat c:windowsnotmyfileeither )
carpetas para incluir (también se incluyen artículos como c:windowssystem32 helpmyfile.dll, c:windowsMSAgentintlclosetomyfile.ocx)
incluir carpetas hijas (si es verdadero y una carpeta se encuentra que coincida con el patrón de continuación, las carpetas inmediata por debajo de ella se mostrarán también)
incluir archivos (si los archivos con nombres de verdad que coincidan con el patrón se mostrarán, si falsos entonces las carpetas sólo se mostrarán)
El modificador /FP se utiliza internamente para algunas exploraciones únicos que se requieren durante las exploraciones estándar y la mayoría de los ayudantes probablemente no tendrá necesidad de ella, pero que puede hacer cosas muy interesantes con él así que pensé que sólo la pondría a disposición de uso. Elimina la necesidad de ejecutar dos escaneos separados (uno para las carpetas y otra para los archivos) si tiene que buscar todos los elementos de ambos.
/MD5 - para incluir los valores de MD5 para todos los archivos
Usted verá esto siendo usado extensivamente en la Guía de Limpieza de Malware para encontrar los archivos parchados. En este momento hay infecciones que modifican los archivos del OS de una manera que son difíciles de detectar en cualquier otra forma. MD5s son un valor único matemático que se puede calcular para un archivo y determinar el si o no si se a modificado. Aun si un solo byte en un archivo se cambia el MD5 calculado también cambiará. Algunos ejemplos de la guía son:
%SYSTEMDRIVE%iaStor.sys /s /md5
%SYSTEMDRIVE%nvstor.sys /s /md5
%SYSTEMDRIVE%atapi.sys /s /md5
%SYSTEMDRIVE%IdeChnDr.sys /s /md5
Valores de MD5 no se almacenan en archivos, se han calculado sobre la marcha de los archivos. Las exploraciones del ejemplo de arriba búsqua la unidad de todo el sistema para el archivo especificado y devolvera todos los archivos que se encuentran con sus valores MD5 calculado. Si el MD5 del fichero en la carpeta de funcionamiento normal (es decir, system32 o system32drivers) es diferente de aquel en las carpetas de copia de seguridad (es decir, la carpeta dllcache o la carpeta i386) entonces el archivo es más probable que este "parchado". Si el MD5 vuelve como nada, entonces es casi una garantía de que el archivo ha sido parcheado y debe ser reemplazado con una copia válida de uno de los otros lugares usando una herramienta como Avenger. Usando el valor MD5 puede estar seguro de que el archivo es legítimo.
/MD5START y /MD5STOP - para envolver alrededor de los archivos a buscar.
Ejemplo:
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop
Esto le permite comprobar los archivos que desee, sin la necesidad de incluir todas sus rutas ya que si el análisis mira estos interruptores siempre comenzará en la raíz de el systemdrive y escaneara todo el disco. Esto hace que todos los archivos se junten y mirará por cada archivo en su paso por cada carpeta de modo que sólo un pasada de la unidad del disco duro se necesita.
Si hay un número de archivos que usted está buscando para comprobar el MD5 entonces usando /md5start y /md5stop es mucho más eficiente y produce un registro más limpio. Si sólo hay uno o dos artículos a continuación, /md5 sera Suficiente.
Nota: Cada vez que el bloque /md5start /md5stop es usado las búsquedas también podran ver cualquier servicepack. Cab. Si alguno de estos se encuentra, se verá en el interior para el archivo que se busca, y si uno se encuentra, lo mostrara en la siguiente lista del resultado. si este no es el caso de búsqueda sólo se utiliza /md5..
/LOCKEDFILES - para encontrar archivos bloqueados que MD5 no puede calcular.
La exploración simplemente coge el archivo y intenta calcular el MD5 y si no puede, reporta el resultado, saltando todos los archivos de MD5 que no puede obtener.
Nota:Usted Deberá proporcionar una ruta/o especificación del archivo asi como de cualquier otro archivo escaneado y el interruptor /S, si también quiere ir a través de la sub-carpetas. Así que si quería ver que archivos .dll están bloqueados sólo en la carpeta system32 se debería utilizar:
%systemroot%system32*.dll /lockedfiles
Si por alguna razón todos los archivos deben ser verificados (Windows normalmente tendrá un número de archivos bloqueados de forma predeterminada y, a menos que exista una razón particular, no es necesario para verlos todos), entonces sólo tiene que añadir el interruptor /all
ejemplo:
%systemroot%system32*.dll /lockedfiles /all
/RS - para realizar una búsqueda de Registro para un patrón
Ejemplo:
hklmsoftwaremicrosoftwindowscurrentversion|somepattern /RS
El modificador /rs buscará y devolvera todas las claves, nombres de los valores, y los datos encontrados para el patrón incluido. Si un punto de partida no se incluye (por ejemplo, somepattern /rs), entonces se buscará en las siguientes áreas:
hklmsoftwareclasses
hklmsoftwaremicrosoft
hklmsoftwarepolicies
hklmsystemcurrentcontrolset
hkcusoftwareclasses
hkcusoftwaremicrosoft
hkcusoftwarepolicies
Siempre es preferible especificar un punto de partida para la búsqueda.
/RP - para buscar todo tipo de puntos de reanálisis
Ejemplo: c:windows*.* /RP or c:windows*. /RP
o
Ejemplo: c:windows*. /RP /s
Uso de este parámetro se mostrarán todos los puntos de análisis (como los utilizados por la actual infección de max++) y los resultados pueden ser simplemente colocados en la sección de :OTL para reparación que deben eliminarse. Con /s se incluye a través de todas las subcarpetas.
/HL - para buscar sólo los enlaces duros
Ejemplo:
c:windows*.* /HL or c:windows*. /HL
/JN - para buscar sólo uniones
Ejemplo:
c:windows*.* /JN or c:windows*. /JN
/MP - para buscar sólo los puntos de montaje
Ejemplo:
c:windows*.* /MP or c:windows*. /MP
Al momento de escribir un análisis muy útil que puedes agregar a su análisis personalizados sería:
%systemroot%*. /mp /s
Esto podra encontrar todos los puntos de montajes de la infecion actual con su exploración inicial de max++ en un sistema (o una exploración posterior) y se podía eliminar con su reparación inicial.
/SL - sólo para buscar enlaces simbólicos
Ejemplo:
c:windows*.* /SL or c:windows*. /SL
/SP - para realizar una búsqueda similar de cadena desde adentro de archivos
Ejemplo:
c:windows*.*|somepattern /SP
Tiempo atras este comando WinPFind, se utilizaba muy a menudo para encontrar firmas de malware en los archivos. Actualmente no se utiliza mucho, pero todavía está disponible.
/S - para incluir subcarpetas en una búsqueda de archivos o claves de sub-registro
Ejemplo:
c:windows*.dat /S
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesACPI /S
Este código también se utiliza a menudo en conjunto con los códigos MD5 / o / U para incluir subcarpetas en una búsqueda de archivos.
/U - para incluir sólo los archivos Unicode en una búsqueda
Ejemplo:
c:windows*.* /U
Los archivos y carpetas con los valores Unicode en sus nombres frecuentemente se ven como elementos legítimos en el Explorador. Durante las exploraciones estándar, OTL colocará automáticamente todos los archivos o carpetas que se encuentran con valores de Unicode en la sección de un registro Unicode y estos pueden ser reparados tan fácilmente como cualquier otro archivo o carpeta con sólo colocar las líneas en la sección :OTL en la ventana de reparación . Usando muchas exploraciónes, los nombres de estos archivos o carpetas no se interpreten adecuadamente y se mostrará con un signo de interrogación: ? donde los caracteres Unicode son lo que hace imposible determinar qué quitar. OTL se encarga de eso para usted. El uso del modificador /U en una exploración personalizada devolverá sólo los archivos y carpetas encontrados que contienen caracteres Unicode en sus nombres.
Un ejemplo de un resultado es:
< c:*.* /U >
========== Files - Unicode (All) ==========
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:N?mesList.txt) -- c:NamesList.txt
/X - para excluir archivos de una búsqueda
Ejemplo:
c:windows*.exe /X
Esto excluirá todos los archivos .Exe y mostrara todo lo demás.
/64 - específicamente para búscar en carpetas 64bit o claves del Registro en sistemas operativos de 64 bits
Ejemplo:
c:windowssystem32*.dat /64
hklmsoftwaremicrosoftwindowscurrentversionrun /64
Debido a que OTL es una aplicación de 32 bits, si el interruptor /64 no se utiliza cuando se escanea en un SO de 64 bits, el sistema operativo pasará automáticamente la exploración a las áreas de 32-bit del sistema de archivos o el registro en su caso. Este interruptor se anula tal comportamiento por defecto y forza la exploración de las áreas de 64-bit cuando sea necesario.
/<some number> - para incluir sólo los archivos o carpetas con una cierta cantidad de días de edad
Ejemplo:
c:windowssystem32*.* /3
Mirando el ejemplo de arriba, esta exploración sólo devolverá los archivos creados en los últimos 3 días.
Commands/Switches
Comandos/Interrumptores que se pueden usar en la secion de :FILES al realizar una reparación:
[override] and [stopoverride] - para anular la lista interna de archivos o carpetas que no son móvibles
Ejemplo:
:FILES
[override]
c:windowssystem32userinit.exe
[stopoverride]
OTL incluye una lista de alrededor de 100 archivos y carpetas que no se pueden mover de forma predeterminada. Esto es para evitar mover inadvertidamente archivos o carpetas principales del sistema operativo que podrían hacer que un sistema no inicie o o lo haga inutilizable. Esta característica puede ser anulada mediante estos comandos, pero tenga mucho cuidado al incluirlos. Un comando [stopoverride] siempre debe incluirse lo antes posible, siempre que el comando de [reemplazar] se utiliza para evitar que se mueva por error un archivo interno requerido del sistema.
/<some number> - al igual que en análisis personalizados, este parámetro agregara todos los archivos similares que coinciden y también limita los movimientos a los archivos o carpetas que se han creado dentro del número especificado de días.
Ejemplo:
:FILES
c:windowssystem32*.dll /2
Esto moverá todos los archivos .dll en la carpeta system32 que se han creado dentro de 2 días. Puede ser muy útil pero también puede ser peligroso. Aquí tenga cuidado con el uso de este modificador.
/64 - para acceder a los lugares específicos de la carpeta 64-bit en lugar de las ubicacion por defecto de 32 bits en sistemas operativos de 64 bits y si el archivo se encuentra moverla de allí.
Ejemplo:
:FILES
c:windowssystem32badfile.exe /64
Esto hará que OTL busque en la carpeta de 64-bit system32 en lugar de en el de 32-bit system32.
@ - Para eliminar secuencias de datos alternos.
Ejemplo:
:FILES
@c:windowssystem32:somedatastream
Normalmente no se necesita usar esto en OTL en el caso que una exploración se aya realizada con OTL, porque todos los archivos con ADSs se enumeran en la sección Alternate Data Streams del registro y usted puede simplemente copiar y pegar las líneas en la sección :OTL en la reparación. Si una exploración se realizó con otra herramienta que no permite soluciones o no puede quitar ADSs entonces usted puede reparar los archivos con este comando en la sección :Files.
/C - para ejecutar un comando de DOS en línea de comandos
Es poco probable que este parámetro se utiliza a menudo. Otros interruptores / comandos cubren la mayoría de estas cosas ... por ejemplo, para copiar un archivo que normalmente se utiliza el parámetro /replace en vez de un comando de DOS. Sin embargo puede haber ocasiones en que sería útil. Por ejemplo, es posible que desee detener un servicio temporal (en vez de eliminarlo - con el comando :Services para facilitarlo) en cuyo caso se puede utilizar un comando de DOS.
Ejemplo:
:files
net stop <service> /c
<do something here>
net start <service> /c
/D - para eliminar el archivo en lugar de moverlo
Ejemplo:
:Files
% programfiles%*. dll /D
Esto eliminará todos los archivos que se ajusten a la especificación en lugar de moverlos. Un lugar común el uso de esto es con los archivos .tmp pero se puede utilizar con cualquier archivo o mover carpetas. ¡Ten cuidado!
/E - Para extraer un determinado archivo de un archivo .cab archivo.
Ejemplo:
:FILES
C:WINDOWSDriver Cachei386sp3.cab:atapi.sys /E
Siempre será extraído a la raíz de la unidad del sistema, no hay ninguna opción para extraerlo en cualquier otro lugar. De allí, usted puede utilizar el parámetro /replace para reemplazar el archivo actual activo con el archivo extraído. Esto siempre será un proceso de dos pasos porque el archivo activo, no podría ser sustituido de inmediato y en ese caso un reinicio del systema se requiere y el paso /replace se hará cargo de ello.
El proceso completo que permite extraer un archivo y reemplazar el archivo actual activo en la carpeta de los conductores seran algo como:
Ejemplo:
:files
C:WINDOWSDriver Cachei386sp3.cab:atapi.sys /e
C:WINDOWSsystem32driversatapi.sys|c:atapi.sys /replace
Nota: Asegúrese siempre de poner el paso de extracción antes del paso de sustitución o no funcionará!.
/lsp - Para eliminar un archivo desde LSP.
Ejemplo:
:Files
helper32.dll /lsp
winhelper86.dll /lsp
Para cada línea, OTL pasará a través de toda la pila, quite todas las entradas que incluyen ese archivo, y si se quitan seria reconstruida la pila.
/replace
<original file>|<new file> /replace
Ejemplo:
:files
C:WINDOWSSystem32driversatapi.sys|c:atapi.sys /replace
<original file>|<new file> /replace
Si el archivo no puede ser sustituido de inmediato (que podría estar en uso) a continuación, tendrá reiniciar el sistema para terminar el movimiento.
Los archivos originales y los nuevos no necesitan tener el mismo nombre o incluso ser del mismo tipo.
Nota: Cuidado que esto funciona de manera diferente a FCopy:: en la herramienta de ComboFix es decir, en el nuevo archivo viene al final - al revés de ComboFix.
Nota 2: Si usted está tratando de mover un archivo desde un archivo cab que tendrá que ser extraído antes de reemplazar el archivo malo - ver /E anterior.
/S - para recurrir a sub-carpetas y eliminar todos los archivos encontrados conforme a la especificación
Ejemplo:
:FILES
c:windows*.dat /S
Esto eliminará todos .dat en la carpeta c:windows y todas las subcarpetas
/U - para mover sólo los archivos o carpetas con caracteres Unicode en sus nombres
Ejemplo:
:FILES
c:windows?ystem32 /U
%commonprogramfiles%s?stem /U
c:windowsexpl?rer.exe /U /S
Cada uno de estos comandos sólo moverá el archivo o la carpeta que contiene caracteres Unicode en la posición de la? y no tocará ningún archivo legítimo o carpetas con un nombre coincidente con el patrón. Normalmente aparecerán los archivos o carpetas como este con la infección Purity (donde puede simplemente usar el comando [purity] en la sección de :commands), pero podría haber otros archivos o carpetas que requieren este tipo de movimiento también.
Cualquiera de estos interruptores se pueden mezclar y combinar para satisfacer las necesidades específicas de la situación.
CleanUp
Use el boton de Limpiar en OTL para remover las herramientas o reportes despues que ya no se necesitan. Es preferible descargar OTC cuando ninguna herramienta de OldTimer esta presente en su maquina.
Esta es al lista de herramientas que se borraran de su computadora si se encuentran presente:
TDSSKiller
TDSSKiller.zip
TDSSKiller.exe
TDSSKiller*.txt
!Killbox
*.run
_backupD
_OTL
_OTListIt
_OTM
_OTMoveIt
_OTS
_OTScanIt
404fix.exe
Avenger
avenger.exe
avenger.txt
avenger.zip
AWF.txt
BFU
bfu.zip
catchme
catchme.exe
ckscanner
cleanup.txt
ComboFix
ComboFix*.txt
combofix.exe
combo-fix.exe
Combo-Fix.sys
dds.com
dds.pif
dds.scr
Deckard
defogger
delete.bat
deljob
deljob.exe
dss.exe
dumphive.exe
erdntsubs
exehelper
Extras.txt
fdsv.exe
FindAWF.exe
fixwareout
fixwareout.exe
fsbl*.log
fsbl.exe
gmer
gmer.dll
gmer.exe
gmer.ini
gmer.log
gmer.sys
gmer_uninstall.cmd
grep.exe
haxfix.exe
haxfix.txt
iedfix.exe
killbox.exe
logit.txt
Lop SD
lopR.txt
LopSD.exe
moveex.exe
nircmd.exe
NoLop.exe
NoLop.txt
NoLopOLD.txt
OTH.exe
OTL.exe
OTL.txt
OTListIt.txt
OTListIt2.exe
OTLPE
OTM.exe
OTMoveIt.exe
OTMoveIt2.exe
OTMoveIt3.exe
OTS.exe
OTS.txt
OTScanIt
OTScanIt.exe
OTScanIt2
OTScanIt2.exe
OTViewIt.exe
OTViewIt.txt
QooBox
rapport.txt
Rooter$
Rooter.exe
Rooter.txt
RSIT
RSIT.exe
Runscanner
Runscanner.exe
Runscanner.net
Runscanner.zip
Rustbfix
rustbfix.exe
SDFix
sdfix.exe
sed.exe
Silent Runners.vbs
SmitfraudFix
SmitfraudFix.exe
swreg.exe
Swsc.exe
Swxcacls.exe
SysInsite
systemlook
tmp.reg
vacfix.exe
vcclsid.exe
VFind.exe
VundoFix Backups
VundoFix.exe
vundofix.txt
vundofix.vft
win32delfkil.exe
windelf.txt
WinPfind
winpfind.exe
WinPFind35u
WinPFind35u.exe
WinPFind3u
WinPFind3u.exe
WS2Fix.exe
zip.exe
Cualquier modificación referente al tutorial o programa se hará en este mismo tema.
EHN
Saludos.