Welcome to Smokey's Security Forums.
Guests only have limited access to the board and it's features, please consider registering to gain full access!
Registration is free and it only takes a few moments to complete.

Smokey's Security Forums

Please login or register.

Login with username, password and session length
Advanced search  

News:

Ransomware Grabs Headlines but BEC May Be a Bigger Threat

With social media, gathering information has never been easier, making Business Email Compromise the land of milk and honey for cybercriminals.

Ransomware Grabs Headlines but BEC May Be a Bigger Threat

Malware Log Analysis & Removal Help * Ransomware Encryption & Decrytion Techniques * Official Jetico Inc. Support Forums

Preocupaciones © Manual de OTL - Como utilizar OldTimer ListIt, completo e íntegro

Traducción Inglés - Española Lengua: Net_Surfer
Copyright Original Manual © 2017 emeraldnzl
Copyright Modificada Manual © 2017 Smokey Services

Share this topic on FacebookShare this topic on MySpaceShare this topic on RedditShare this topic on TwitterAuthorTopic: [ESPANÕl] Manual de OTL - Como utilizar OldTimer ListIt, completo e íntegro  (Read 16988 times)

0 Members and 1 Guest are viewing this topic.

Net_SurferTopic starter

  • Senior Member
  • ***
  • Offline Offline
  • Posts: 110
  • .: Translator: Spanish OTL Tutorial

    OTL es una herramienta flexible de usos múltiples para el diagnóstico y la eliminación de programas maliciosos. También tiene capacidad curativa.

    *************************

    Introducción

    Información si desea hacer una Donación

    La descarga y utilización de OTL es GRATIS. Sin embargo, la herramienta es el resultado de una gran inversión de tiempo y esfuerzo significativo por parte de OldTimer. El programa contiene miles de líneas de código, y se actualiza con frecuencia para ajustarlo a  los cambios que se perciben diariamente en programas de índole malicioso. OldTimer también dedica muchas horas ofreciendo apoyo técnico al personal de muchos de los foros que ofrecen este tipo de ayuda a víctimas con sistemas infectados. Si encuentra OTL de gran ayuda y desea apoyar los esfuerzos de OldTimer, cómprele una taza de café. O, simplemente haga clic en el botón de Paypal que está a continuación:


    Información de el Tutorial

    Este tutorial ha sido creado por emeraldnzl y es propiedad de el mismo. Favor de ponerse en contacto con emeraldnzl antes de citar, hacer copia o utilizar este tutorial en otros foros, para obtener su permiso y obtener información sobre las actualizaciones. También tenga en cuenta que este tutorial fue escrito originalmente para ofrecer orientación técnica a las personas que ofrecen ayuda en la eliminación de programas maliciosos en diversos foros.

    Nota: Esta es la traducción de la copia maestra del Tutorial. Si usted publica este tutorial con el debido permiso en otro lugar, verifique la fecha en la parte inferior para comprobar que usted tiene la versión más reciente.  Esta herramienta es actualizada constantemente.

    Nota importante!: Aunque OTL es principalmente una herramienta de diagnóstico, la misma tiene una capacidad avanzada para eliminar programas maliciosos. Si usted no entiende las instrucciones en este tutorial, favor de solicitar la asistencia de un experto en la eliminación de programas maliciosos que ofrecen su ayuda gratis en uno de los foros que se indican abajo. Tenga mucho cuidado al desarrollar y ejecutar uno de los códigos. El uso inapropiado de OTL puede causar la pérdida de su data o causar que su sistema que no arranque.

    Traducciones

    Este Tutorial se ofrece en varios idiomas (*Los enlaces lo haran salir de este sitio si da clic en ellos).

    Inglés/ English: Smokey's Security Forums

    Alemán/ Deutsch:Smokey's Security Forums

    Francés/Français:Assiste

    Foros que utilizan OTL como su herramienta de diagnóstico primaria y donde se ofrece apoyo gratuito:

    Inglés:Francés:Portugués:.

    Tabla de contenidos

    .

    Compatibilidad

    OTL es compatible con sistemas que tengan una fucionalidad 32-bit y 64-bit. Trabaja en todas las versiones de Windows con un sistema the  archivo NT. Desde Windows 2000 hasta Windows 7.

    La herramienta es incompatible con sistemas publicados con anterioridad a Windows 2000.

    Diagnóstico

    Generalmente, OTL se utiliza como una herramienta de diagnóstico inicial al principio del análisis de un problema. No solo ayuda a identificar programas maliciosos, también nos provee información de utilidad de el sistema del usuario. Sin embargo, cuando otra herramienta es utilizada de forma inicial tal y como (por ejemplo, Combofix), OTL se puede utilizar como una herramienta para dar seguimiento y de esta forma tener un mejor entendimiento de la infección, y a la misma vez producir reparaciones de poco riesgo u onerosas en su preparación y aplicabilidad. Una de las características más notables de OTL es su habilidad de realizar escaneos personalizados de archivos o entradas en el registro del sistema. En la misma manera en que programas maliciosos buscan nuevas formas para infectar sistemas, OTL no requiere actualizarse para identificar estos cambios. Lo único que se requiere es simplemente un escaneo personalizado de las entradas sospechosas.
     
    Una vez que la infección desaparece o se convierte obsoleta, el escaneo personalizado se puede remover, e implementar nuevos escaneos de ser necesario. Muchos usuarios desarrollan sus propias listas de escaneo de código personalizados para obtener la información que éstos desean ver en el sistema.

    Reparaciones

    OTL tiene una gran variedad de directrices que pueden ser utilizadas para manipular los procesos de un equipo y arreglar problemas que usted haya identificado.

    Adicionalmente hay una serie de códigos que pueden utilizarse para diagnóstico y eliminación de programas maliciosos.


    Limpieza

    Otra de las características de OTL es que puede remover muchas de las herramientas que se utilizan en la eliminación de programas maliciosos. Esta función se utiliza al final del análisis como parte del cierre del tema en conjunto con el discurso de prevención.

    Preparación para su uso

    Hoy día, ciertos tipos de Programas Maliciosos suelen bloquear el nombre de las herramientas que solemos usar para la desinfección. Por este motivo se puede cambiar el nombre del archivo "OTL.exe" por "OTL.com", si el ejecutable ha sido bloqueado.

    Recomendamos que se instale la "Consola de recuperación" antes de ejecutar a OTL.

    OTL desabilitará la función de ajustes de línea (wordwrap) en Notepad, y reajustará la misma a su configuración normal al utilizar la opción de limpieza en la herramienta.

    Como se ejecuta OTL?

    El usuario se instruye a que descargue OTL directo a su escritorio. Luego a que haga un double-clic sobre el ícono de OTL. El ícono es el siguiente:

    Una vez abierto, la consola de OTL aparecerá de la siguiente forma:


      En el ejemplo que incluímos a continuación, puede ver el discurso que usualmente se utiliza para instruir a un usuario a que configure OTL y realize el tipo de escaneo deseado:

    [/list][/list]
    Code: [Select]
    Descarga [url=http://oldtimer.geekstogo.com/OTL.exe][b][color=red]>> OTL <<[/color][/b][/url][IMG]http://i466.photobucket.com/albums/rr21/JSntgRvr/OTLI.gif[/img]  a tu escritorio.

    [list type=decimal]
    [*]Haz un doble clic en [b]OTL.exe[/b] para ejecutar el programa. Asegúrate que todas las ventanas están cerradas y deja que el programa corra sin interrupción.
    [*]Cuando la interfaz aparesca marcar las siguienes opciones, abajo de: [u][b]Tipo de Análisis[/b][/u] cambielo a [b]"Resultado Minimo"[/b].
    [*]Marcar las opciones: [b]Buscar LOP[/b] y [b]Buscar Purity[/b].

    [IMG]http://img.photobucket.com/albums/v708/starbuck50/otlspan.png[/img]

    [*][b]Copia y pega el siguiente texto abajo de la barra azul de "Análisis Personalizados":[/b]

    [/list]
    [codex][/codex]
    [list]

    [*]Presione el boton de [IMG]http://i318.photobucket.com/albums/mm416/Net_Surfer/scaled-9.png[/img]. No cambies el resto de la configuración a menos que te lo solicitemos. El examen no tardará mucho.
    [list type=decimal]
    [*]Una vez termine, abrirán dos (2) archivos de texto, [b]OTL.Txt[/b] y [b]Extras.Txt[/b]. Éstos aparecerán guardados en la misma carpeta de OTL.
    [*]Por favor cópie el contenido de los dos archivos (Edición->Seleccionar todo) por separado y péguelos a continuacion de su petición de ayuda en el foro.
    [/list]
    [/list]
        Una vez OTL haya completado su primer escaneo, grabará copias de los resultados en Notepad, y guardará los mismos en el mismo folder donde se encuentra. El informe "Extras" se producirá de forma automática solamente durante el escaneo inicial.  A menos de que el mismo se incluya en configuraciónes subsiguientes, éste no se producirá.

        En el caso del informe correspondiente a una reparación, el mismo se grabará en la carpeta \_OTL\Moved Files, reflejando la fecha y hora en la que se creó. En la mayoría de los casos, C:\_OTL\Moved Files.

    Enlaces de Descarga

    Enlaces directos de la descarga

    Enlaces de Descarga. Los enlaces correctos son los siguientes:

    http://oldtimer.geekstogo.com/OTL.exe

    Aparte de éstos, para usuarios que no puedan ejecutar archivos con una extensión .exe, los mismos pueden descargar OTL con una extensión .com, o .scr.

    Enlaces:
    http://oldtimer.geekstogo.com/OTL.com
    http://oldtimer.geekstogo.com/OTL.scr

    Note: Cuando utilice estos enlaces, use el Explorador de Windows "Internet Explorer". Si utiliza Firefox, haga un clic derecho y seleccione "Guardar enlace como", de lo contrario, en algunos sistemas, cuando se intenta abrir el archivo, aparecería como una secuéncia de comandos y sólo verás muchas líneas de código en la pantalla.

    Contenido del Registro
    (Resultado del escaneo.)

    Encabezado:

    Este es un ejemplo del encabezado de un registro:

    OTL logfile created on: 16/09/2009 12:11:33 PM - Run 1
    OTL by OldTimer - Version 3.0.14.0 Folder = C:\Documents and Settings\John Doe\Desktop\Geekstogo
    Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
    Internet Explorer (Version = 8.0.6001.18702)
    Locale: 00000C09 | Country: Australia | Language: ENA | Date Format: d/MM/yyyy

    494.80 Mb Total Physical Memory | 154.25 Mb Available Physical Memory | 31.17% Memory free
    1.13 Gb Paging File | 0.74 Gb Available in Paging File | 65.64% Paging File free
    Paging file location(s): C:\pagefile.sys 744 1488 [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
    Drive C: | 37.26 Gb Total Space | 19.84 Gb Free Space | 53.25% Space Free | Partition Type: NTFS
    Drive D: | 7.58 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: UDF
    Drive E: | 22.20 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
    F: Drive not present or media not loaded
    G: Drive not present or media not loaded
    H: Drive not present or media not loaded
    I: Drive not present or media not loaded

    Computer Name: YOUR-4DACD0EA75
    Current User Name: HP_Administrator
    Logged in as Administrator.

    Current Boot Mode: Normal
    Scan Mode: Current user
    Include 64bit Scans
    Company Name Whitelist: On
    Skip Microsoft Files: On
    File Age = 14 Days
    Output = Standard
    Quick Scan


    Una revisión apropiada de esta información le puede ahorrar bastante tiempo.

    Descripción de las líneas

    Primera línea: Indica la fecha en que se creó el registro, la hora del día y cuantas veces OTL se a ejecutado.

    Nota: la fecha se mostrará en el formato establecido por el usuario en el Panel de control.

    Se utilizará esta información para determinar si el escaneo es el actual, y no uno antiguo.

    Segunda línea: Muestra la versión d OTL y su ubicación en el disco. El número de versión es particularmente importante. Una versión no actualizada no tendrá la funcionalidad actual y puede arrojar un resultado equivocado a la hora de evaluar un registro. De igual forma, la ubicación de OTL en el disco puede ser de gran importancia, especialmente si el mismo no se encuentra en un lugar permanente.

    Tercera línea: Muestra la versión de Windows activa en el equipo, y el tipo de sistema de archivo. Esta información es muy útil para determinar si otras herramientas son compatibles con el ordenador del usuario.

    Cuarta línea: Indica la versión del Explorador de Windows (Internet Explorer). La versión 8 puede causar problemas en algunos equipos.

    Quinta línea: Nos muestra el país, idioma y el formato de fecha que el sistema operativo está utilizando. Puede ser útil en la preparación de las respuestas. Para obtener una lista de las siglas utilizadas clic Aquí.

    Sexta línea: Le indica la cantidad de memoria (RAM) que el ordenador posee. A menudo esto puede ayudar a explicar muchos de los síntomas.

    Nota:  El informe de la cantidad de memoria puede aparecer más baja de lo que realmente está en la máquina. Esto sucede por varias razones. El ordenador puede que no pueda acceder a toda la memoria disponible; defectos en los modulos de memoria o su base; o algo que previene al inicio del ordenador reconocer la misma. Sistemas con más de 4GB de memoria, reflejarán el máximo de 4 GB.

    Líneas séptima y octava: El archivo "Pagefile.sys" es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora. Así se amplía la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. El tamaño del archivo fluctúa basado en la necesidad del sistema.

    Novena línea: Le indica el medio ambiente del sistema; desde donde funciona la unidad del sistema, la raíz del mismo y ubicación de los archivos de programas.

    Las líneas siguientes: Le indica las unidades en que el equipo está dividido, su tamaño y el espacio libre disponible. Que tipo de unidad es y si está subdividido. Puede encontrar una situación donde existe muy poco espacio libre en el disco duro (para un sistema óptimo, debe ser mayor del 15%). De ser menor, esto puede afectar la habilidad del fucionamiento de las herramientas. Si el espacio libre es muy bajo, digamos del 5%, entonces hay una posibilidad de que el ordenador no inicie cuando se ejecuta una herramienta. OTL siempre informará el estado de las unidades C: a la I, independientemente de si están o no instalados. Cualquier unidad desde la J: a la Z:, será informado solo si están presentes.

    El informe continúa con un grupo de líneas que indican el nombre del equipo, el usuario actual y el nivel al cual se ha conectado. Esto nos permite saber si el usuario tiene el permiso apropiado para ejecutar una reparación.

    Luego de esto, existe otro grupo de líneas que indican la configuración utilizada en el escaneo, tal y como el modo de arranque del ordenador; si sólo se configuró el usuario actual o todos los usuarios; escaneo en sistemas de 64-bit; si la lista de compañías reconocidas fue omitida o no; y otros.

    OTL agrega anotaciones a determinadas entradas del registro:

    [2008/01/20 21:52:15 | 01,216,000 | ---- | M - el último de los caracteres entre los corchechetes [.] será permanente M para indicar si el archivo fué modificado,  o C para para indicar si el archivo fué creado.

    Todo escaneo, excepto por los que se realizan por la edad de archivos y análisis de aquellos sin la firma de compañías reconocidas, mostrará la fecha de la última modificación de los archivos. Los dos análisis  mostrarán la fecha de creación de ambos, el archivo y la carpeta. Existen tipos de infecciones que ajustan la fecha de modificación para tratar de ocultarse o mezclarse con otros archivos o carpetas. De esta manera, y mediante el análisis de las fechas de creación y modificación, podemos identificar a este tipo de infección. Si los archivos o carpetas muestran una fecha modificada en el 2003, pero fueron creados en el 2010, entonces esto es una indicación de que debemos realizar una evaluación más profunda de estos archivos. Una evaluación profunda de los resultados de escaneo nos ayudará a identificar las infecciones de forma efectiva.

    [2010/03/15 18:25:02 | 1609,916,416 | -HS- | M] () -- C:\hiberfil.sys -

    Luego del tamaño del archivo, aparecerán los siguientes atributos son:

    R - Readonly - Leer solamente
    H - Hidden  - Oculto
    S - System - Sistema
    D - Directory - Carpeta

    SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe()  - Esta línea indica que el archivo no está digitalmente firmado por una empresa.  De estar digitalmente firmado, el nombre de la empresa aparecería dentro del paréntesis final. La mayoría de archivos maliciosos no tendrán nombre de empresa (aunque algunos sí, para ocultarse). Tenga en consideración que no todos los archivos sin nombre de empresa son malos, como muestra el ejemplo de arriba.

    [2009/03/10 15:54:00 | 00,000,000 | ---D | M - Esta línea muestra un directorio (D) que se ha modificado (M) en 2009/03/10.

    El tamaño de las carpetas siempre será cero según demuestra este ejemplo. Si hubiera sido un archivo, el atributo no sería una D y el tamaño del archivo normalmente sería mayor de cero, aunque también se pueden encontrar archivos con un tamaño cero. En este caso, el ejemplo es una carpeta y la fecha en que se muestra es la fecha de modificación.

    Áreas de análisis estándar

    RPC - procesos
    MOD - módulos
    SRV - servicios (O23 en HJT)
    DRV - controladores
    Registro estándar
    IE - configuración del explorador (Internet Explorer)
    FF - configuración del explorador (FireFox)
    O1 a O24 - Estas líneas son similaresal registro de Hijackthis
    O27 Opciones en la Ejecución de la imagen del archivo
    O28 Ganchos de ejecución en la base de Windows (shell)
    O29 Proveedores de seguridad
    O30 Servicios de autenticación. (LSA)
    O31 Modo de Inicio Seguro
    032 Archivos de arranque automático en el disco
    O33 Configuración de las unidades de almacenamiento
    O34 Programas que se ejecutan al inicio
    O35 Asociación de los archivos .com y .exe de la base del sistema
    Bibliotecas (Librería) de Enlace Dinámico (.dll)
    037 Asociación de los archivos .com y .exe de la base del sistema


    Análisis de archivos y carpetas

    Registro adicional -  Se obtiene automáticamente durante el escaneo inicial de OTL. Realiza los siguientes análisis y coloca el resultado en el registro "Extras.txt". Este escaneo adicional sólo se ejecutará automáticamente la primera vez que OTL.exe se ejecute, mediante el cual se obtiene el primer análisis. Subsiguientemente, si desea ver estos resultados necesitará instruir a el usuario a que marque una de estas dos opciones:  "Listado Minimo" o "Todos"  en el grupo de registro adicional antes de hacer un scaneo de lo siguiente:

    Asociación de archivos
    Shell Spawning
    Centro de Seguridad
    Aplicaciones autorizadas (si se ejecuta en un sistema operativo no-Vista)
    Reglas del "Firewall" en vista (si se ejecuta en un Vista o los sistemas operativos anteriores)
    Lista de Programas Instalados
    Vista de Sucesos (últimos 10 errores en cada área cubierta por la aplicación)

    Existen dos formas de solicitarle al usuario a que presente el Escaneo Estándard, "Resulado Completo" o "Resultado Mínimo". Además se puede utilizar la opción de listado minimo o "Todos" en cada uno de los escaneos standár selecionado con el grupo particular de scaneo.
    Nota: Selecionando "Resultado Completo", la fecha \hora del archivo se incluirán al principio de la línea, mientras que selecionando "Resultado Mínimo" sólo se incluirá el nombre del archivo, ubicación y nombre de la empresa. El resultado el escaneo concerniente a los procesos, módulos, servicios, controladores y análisis de archivos, se reflejará ordenados por fecha de archivo, sin embargo, en el caso de análisis personalizado, se ordenarán por ubicación y nombre de archivo. En los sistemas operativos de 64 bits, los elementos de 64 bits se enumerarán primero, y subsiguientemente los elementos de 32-bit dentro de la misma agrupación.

    La lista de compañías reconocidas es una lista de más de 600 archivos (actualmente) de Microsoft que se consideran seguros, y que  se filtrarán fuera de todos los análisis si el análisis incluyera esta opción. Elegir la opción "Todos" en cualquier de estos análisis, se apagará el filtro y el resultado incluirá todos los achivos en el systema en el análisis.


    Nota 2: Usted puede personalizar las opciones de análisis para cumplir con sus necesidades específicas. Por ejemplo, usted puede seleccionar Ninguno en los analices de Procesos y Módulos, y a la misma vez establecer la edad del archivo a 180 días. Si hace cambio alguno a cualquier valor que aparezca como pre-determinado, entonces asegúrese de oprimir el botón Analizar. Cuando el botón del Análisis Mínimo es oprimido, las selecciones serán pre-determinadas y anulará las que seleccione de forma personalizada. las opciones del Análisis Mínimo no pueden ser anuladas. Cualquier selección en el área de Análisis Personalizados no se afectará oprimiendo las opciones, Analizar o Análisis Mínimo. Éstas siempre se incluirán en el análisis, de estar presente.

    También hay comandos adicionales personalizados y predefinidos que se pueden utilizar en análisis personalizados:

    Nota: Co la excepción del comando HijackThisBackups, el resultado del escaneo utilizando los siguientes comandos se puede copia/pegar directamente en la sección de :OTL en una reparación para su eliminación.

    HijackThisBackups - se enumeran todas las copias de apoyo producidas por Hijackthis
    netsvcs - listas de entradas bajo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
    msconfig - listas de entradas bajo HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig
    safebootminimal - listas de entradas bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal
    safebootnetwork - listas de entradas bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network
    activex - listas de entradas bajo HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components
    drivers32 - listas de entradas bajo HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32

    Nota: De forma predeterminada, cada uno de los análisis predefinidos utilizará el filtro de companías reconocidas. Para anular esta acción e incluir todos los archivos en cualquiera de estos análisis debe incluir el codigo /all al final del comando (ejemplo: netsvcs /all).

    Ejemplo de los resultados

    Procesos

    Muestra procesos que se estan ejecutando en su equipo.

    ========== Processes (SafeList) ==========

    Estándar:
    PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:\OldTimer Tools\OTL.exe

    Mínimo:
    PRC - C:\OldTimer Tools\OTL.exe (OldTimer Tools)

    Módulos 

    ========== Modules (SafeList) ==========

    Estándar: 
    MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll

    Mínimo:
    MOD - c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll (Agnitum Ltd.)

    Servicios

    Muestra servicios ejecutandose en el equipo.

    ========== Win32 Services (SafeList) ==========

    Estándar:
    SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
    SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)

    Mínimo:
    SRV:64bit: - (WMPNetworkSvc) -- C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
    SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()

    Controladores

    Muestra Controladores ejecutandose en el equipo. Nota: Los controladores no se muestran de forma predeterminada en un examen rápido. Se deben seleccionar y ejecutar con el botón Analizar.

    ========== Driver Services (SafeList) ==========

    Estándar:
    DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -- C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore)
    DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:\Windows\SysWOW64\drivers\StarOpen.sys -- (StarOpen)

    Mínimo:
    DRV:64bit: - (afwcore) -- C:\Windows\SysNative\drivers\afwcore.sys (Agnitum Ltd.)
    DRV - (StarOpen) -- C:\Windows\SysWOW64\drivers\StarOpen.sys ()

    Registro estándar

    ========== Registro estándar (SafeList) ==========

    Internet Explorer

    ========== Internet Explorer ==========

    Esta sección muestra los ajustes del navegador IE Internet.

    Quote
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
    IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)

    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.co.uk/talktalk
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
    IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80



    En cuanto a algunos artículos en el ejemplo anterior podemos ver:

    MSN, página por defecto principal de IE[/i]
    .
    Bing, Motor de búsqueda principal de IE por defecto
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
    Una de las características menos conocidas de Internet Explorer 7 es el modo de la opcion de "No Add Ons" . Esta página se utiliza cuando el modo de No Add Ons está en funcionamiento.
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
    página local está en blanco. Otro ajuste similar es =C:\WINDOWS\System32\blank.htm
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
    Informa al usuario de no navegar con la configuración de seguridad actual, ya que pueden ser perjudiciales para el equipo. Ver aquí para una lista común sobre: direcciones
    .
    Página  web de Yahoo
    • BHO relacionados con Yahoo
      .
      indica la página de inicio predeterminada.
      .
      Google se establece como una página de búsqueda principal
      .
      ndica el conjunto de Google.com/ie como un motor de búsqueda predeterminado
      .
      Proxy /Configuración settings.

      • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
      = 0 indica que el servidor proxy está inhabilitado (ajustar el valor de 'ProxyEnable "igual a" 1 "para el proxy habilitado o '0 'para inabilitado)
      .
      • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
      indica que Internet Explorer no va a usar el proxy para todas las direcciones de red interna
      .
      • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80
      No es una IP regular pero 0.0.0.0 significa "cada IP que proporciona el equipo". Escucha en el loopback (127.0.0.1), así como la dirección de red interna. Muchas aplicaciones de AV crean un servidor de proxy para filtrar las salidas de correos..

      Firefox

      ========== FireFox ==========

      Esta área muestra los ajustes del navegador Firefox a Internet.

      Quote
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
      FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
      FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
      FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
      FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
      FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
      FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
      FF - prefs.js..network.proxy.no_proxies_on: "localhost"

      FF - HKLM\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
      FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
      FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:\program files\real\realplayer\browserrecord\firefox\ext [2009/09/06 17:41:17 | 00,000,000 | ---D | M]
      FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
      FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
      FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Components: C:\Program Files\Netscape\Netscape Browser\Components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
      FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Plugins: C:\Program Files\Netscape\Netscape Browser\Plugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]


      Tomando algunos elementos en el ejemplo anterior podemos ver:
      .
      • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
      • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
      • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
      • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
      • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
    • estos están relacionados con la Consola de Sun Java
      .
      • FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
    • es un complemento para inicio rápido de Java
      .
      • FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
    • Asistente de Microsoft .NET Framework para Firefox
      .
      • FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
    • Real Player
      .
      • FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
    • Skype
      .

      O1 hasta e incluyendo O22 O24

      Esta lista es muy similar a un registro de HijackThis y la referencia a  HijackThis Tutorial & Guia se recomienda para artículos 01 a través de 020 y también el tema 024.

      O10 Esto requiere una explicación adicional: a diferencia de HijackThis, OTL eliminará las entradas de catálogo que se incluyen en la reparación y a continuación, reordena la pila de winsock por lo que no habrá un eslabón roto de la cadena LSP, es decir, usted puede utilizar OTL para corregir estos elementos.

      Opciones de Ejecución de una imagen de archivo O27

      Elementos de listas bajo Opciones de ejecución de archivos de  HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

      Explicación aquí.

      O28 Hooks de ejecución en shell

      HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

      Estos se cargan cada vez que inicie un programa (mediante el Explorador de Windows o por llamar a la función de ShellExecute(Ex)). Este módulo de inicio como los otros módulos DLL de inicio es notificado del programa que usted inicia y que puede realizar cualquier tarea adicional antes que el programa en realidad inicie.

      O29 proveedores de seguridad

      Listas de elementos bajo HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders

      Quote
      O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 | -H-D | M]
      O29 - HKLM SecurityProviders - (digiwet.dll) - File not found


      Estos son ejemplos de los malos. Tenga mucho cuidado! porque elementos  legítimos se muestra aquí también.

      O30 Lsa

      Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

      Quote
      O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\opnnLbaA.dll) - C:\WINDOWS\System32\opnnLbaA.dll File not found



      Lo anterior es un ejemplo de una mala.

      Nota: Los elementos LSA 32 bits comparados a 64 bits:
      O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
      O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

      Para los elementos que se encuentran en la rama de HKLM\System del registro, hay sólo un valor, pero será interpretado de forma diferente por aplicaciones de 32 bits y aplicaciones de 64 bits. En los ejemplos anteriores se puede ver que las interpretaciones de 64 bits se verá a los archivos en la carpeta Sysnative (las carpetas system32 de 64 bits) y las interpretaciones de 32 bits se verá en la carpeta syswow64 (la carpeta system32 de 32 bits). Si elimina cualquiera de estos elementos afectará a las operaciones tanto de 32 bits y de 64 bits. Eliminación de una o de las otras líneas parecidas se elimina el elemento de la ubicación del registro único pero sólo se movera el archivo de la línea seleccionada. A continuación si desea quitar ambos archivos para la coincidencia de elementos parecidos como estas, entonces incluya las dos en la reparación. Es importante comprender donde están ubicados los elementos en el registro para determinar si un elemento de registro único es leído por las aplicaciones de 32 bits y de 64 bits. Lo que usted podría encontrar en una situación como ésta es que el archivo apuntado por la interpretación de 32 bits es malo, pero la interpretación de 64 bits está muy bien (la mayoría de malware sólo afecta a aplicaciones de 32 bits debido a que el sistema operativo de 64 bits no permite cambios en sus archivos). Dado que el valor del registro es compartido por ambos no desea eliminarlo debido a que podría causar problemas en el sistema.

      Ahora tome este ejemplo de los elementos LSA anteriores:

      O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
      O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
      O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
      O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
      O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
      O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

      En este ejemplo se puede ver que se ha comprometido el archivo msv1_0.dll para la interpretación de 32 bits. Debería ser un archivo de Microsoft, pero en este caso ha sido sustituido por un archivo desconocido. En esta situación usted desea eliminar sólo el archivo de C:\Windows\SysWow64\msv1_0.dll pero NO la entrada del Registro. También habría que sustituir el Msv1_0.dll malo con uno válido, ya que se requiere para soporte de aplicaciones

      O31 Modo Seguro a prueba de fallos

      Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\SafeBoot

      Archivos de O32 Autorun en las unidades

      Acceso a un dispositivo removible infectado, como una thumb drive o unidad flash a través de "Mi PC" (al hacer clic en la unidad) hará que un autorun.inf se ejecute.

      Dependiendo de la ejecución automática /configuración de reproducción automática, entonces, el usuario puede ser engañado en ejecutar un archivo incorrecto, cuando le aparece un diálogo en la inserción Haciendo clic en un icono en el "usar este programa para ejecutar" un programa no legítimo agrega al archivo autorun.inf en esa unidad que se puede ejecutar.

      Algunos malware agrega archivos autorun.inf en la raíz de todas las unidades lógicas.

      O33 MountPoints2

      Listas de elementos bajo HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

      O34 BootExecute

      Listas de elementos bajo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

      O35 shell spawning values

      En la base de windows en la listas de valores para .com y .exe configuración del registro (no otras extensiones).

      Elementos de O35 (como cualquier otro elemento en el análisis de registro) simplemente se pueden colocar en la sección de  :OTL, de una reparación, (en los del registro de Extras no puede).

      Con la infecion de Win police Pro se verá un nombre de archivo en lugar de la "% 1" % *. Si lo ves, entonces incluir estas líneas en la reparación.

      Archivos DLL de appcert de O36

      Listas de elementos bajo HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls key

      Asociaciones de archivos de O37 (para valores comfile y exefile )

      Listas de archivo de asociaciones de valores para la configuración del registro de .com y .exe de la base de windows.

      Las asociaciones de archivos en la base de windows están íntimamente entrelazadas. Los elementos de O35 muestran los valores de la base de windows (.com y .exe) y los elementos de O37 muestran las asociaciones de archivo (.com y .exe).

      Puede ver estos valores si se ejecuta el análisis de registro extra, pero cuando no puede verlos entonces estos valores pueden estar ocultos. La línea de O37 le ofrece la capacidad para ver esto incluso cuando no se ejecuta el análisis de registro adicional.

      El valor de la Asociación de archivo es un valor predeterminado único que apuntará al valor de la base de windows. Es el valor de la base de windows donde se pueden configurar ejecutables adicionales para ejecutar tipos de archivo específicos a través de la asociación. Por ejemplo la Asociación de archivos del usuario para los archivos .exe debe estar apuntando a .exe pero el malware puede cambiarlo para que apunte a una nueva clave de desove que está cargando un "archivo malo". El archivo debe aparecer en los análisis de archivo, pero sólo mover ese archivo y no fijar el valor de la Asociación creará una situación donde no se pueden ejecutar archivos .exe.

      Cuando ponga elementos para eliminación aquí, OTL establecerá a cualquier usuario .com HKLM o configuración de asociación de archivo .exe de vuelta a los valores predeterminados, pero elimina .com con cualquier usuario o las claves de asociación de archivos .exe y siempre establece el shell HKLM desove de configuración a la normalidad.

      Nota: Si la clave de desove está en la rama del usuario del registro, a continuación, siempre se eliminará automáticamente, pero que necesitará quitar el archivo por separado. El archivo debe aparecer en los análisis de archivo y usted puede hacerse cargo de allí. Si la clave de desove aparece con el error de Reg: error de clave y es el malware y, a continuación, también debe incluir una línea en la  sección :REG para eliminarlo de la sección HKLM sólo por seguridad.

      Ejemplo de la eliminación de un valor incorrecto de la sección HKLM.

      :reg
      [-hkey_local_machine\software\classes\"badfile"]

      y tenga cuidado del archivo desde los análisis de archivo o de la sección :Files

      Ejemplo de comando de análisis personalizados predefinidos

      NetSvcs

      Enumera las entradas bajo HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs

      Nota: Microsoft coloca una lista predeterminada de servicios en este valor de regitry durante la instalación. No todos los servicios son necesariamente instalados en cada máquina. Las entradas de 'no se encontró el servicio ' / ' no se encontró el archivo' son comunes.

      Prestar especial atención a las firmas de los archivos que se enumeran en este análisis.

      Quote
      NetSvcs: BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology)
      NetSvcs: 6to4 - C:\WINDOWS\System32\6to4v32.dll ()
      NetSvcs: Ias - Service key not found. File not found
      NetSvcs: Iprip - Service key not found. File not found
      NetSvcs: Irmon - Service key not found. File not found
      NetSvcs: NWCWorkstation - Service key not found. File not found
      NetSvcs: Nwsapagent - Service key not found. File not found
      NetSvcs: Wmi - Service key not found. File not found
      NetSvcs: WmdmPmSp - Service key not found. File not found
      NetSvcs: helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation)



      En el ejemplo anterior vemos:

      helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation) Es legítimo
      BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology) No es legítimo. Cuidado! - mientras que esto es malo, no todos los archivos que "no son" de Microsoft no son malos. Compruebe siempre la autenticidad.
      6to4 - C:\WINDOWS\System32\6to4v32.dll () No es legítimo.

      Análisis de archivo

      Hay un número de opciones que puede elegir para los análisis de archivo estándar creado, modificado (estos no se aplican a cualquier análisis personalizados):
      • Edad de Archivo - Por defecto, esto es fijado a 30 días (90 días para un examen rápido), pero esto se puede cambiar a cualquier número de rangos predefinidos desde 1 día hasta 360 días (opciones disponibles son las 1,7,14,30, 60,90,180,360) cuando la opción Edad de Archivo se elige en el plazo de los archivos creados o modificados en los archivos escaneados.
      • Utilice listas blancas de nombre de empresa reconocidas - fuera de forma predeterminada para los análisis estándar y en por defecto para un análisis rápido. La lista blanca de nombre de empresa es una lista de alrededor de 150 nombres de empresa que filtrará los archivos que contienen estos nombres si esta opción está seleccionada.
      • Omitir archivos de Microsoft - desactivado por defecto para los análisis estándar y en por defecto para un análisis rápido. Si, todos los archivos con un nombre de empresa, que incluyendo Microsoft se filtrarán fuera de la salida.
      • Creación de archivos en /analiza los archivos modificados desde adentro - el archivo estándar. Estos se pueden desactivar si la opción ninguno es elegido; utilice la  anterior configuración de edad de archivo, si la opción de la edad de archivo es elegida (el predeterminado); y incluye todos los archivos, si se elige la opción todos.
      • Buscar LOP  - desactivado de forma predeterminada para los análisis estándar y en por defecto para la detección rápida. Este análisis explora la carpeta de datos de programa de todos los usuarios y la carpeta de datos del usuario y muestran todos los archivos, y todas las carpetas presenten no en la lista blanca LOP (una lista de carpetas de alrededor de 160 que han sido considerado seguro) y todos los archivos en la carpeta de tareas de Windows.
      • Buscar Purity - desactivado de forma predeterminada para los análisis estándar y en por defecto para la detección rápida. Este análisis busca todas las ubicaciones conocidas en el que la infecion pureza crea archivos y carpetas y hace un listado de lo que encuentra.
      Puede indicar al usuario que defina cualquiera de estas opciones a los valores que se desea lograr cualquier resultados que estás buscando.

      En un registro

      ========== Archivos o carpetas - creadas dentro de 30 días ==========

      Muestra los archivos/carpetas creadas dentro de un período seleccionado.

      ========== Archivos - modificados dentro de 30 días ==========

      El período predeterminado es de 30 días, pero hay una gama de opciones disponibles ampliar fuera a 360 días de antigüedad.

      Nota: OTL mostrará el nombre de la compañía del archivo. Sólo porque lo dice, por ejemplo, que es de Microsoft Corporation, no necesariamente es válido. Malware puede ser escrito con firmas de todo tipo de diferentes empresas válidas.

      Nota 2: En algunos registros de un archivo se mostrará en los análisis de archivos creado y modificado pero también decir "Identificador de archivo no visto por sistema operativo". Esto ocurre cuando un identificador de archivo en el archivo no puede ser proporcionado por el sistema operativo. Se trata de cómo las propiedades de archivo como nombre de la empresa y se recogen los atributos. El archivo existe, pero algo está impidiendo abrir un identificador a ella. Esto puede ser un indicador de algún tipo de actividad de invicible o rootkit. Más investigación es necesaria.
       
      Nota 3: Los análisis de archivos creados, modificados también incluyan todos los archivos en la carpetas de datos, la carpeta archivos de programa y la carpeta archivos de programa común. Normalmente no debería haber ningún archivos directamente en estas carpetas. Muchas infecciones modifican los atributos de la fecha de archivo a algo mucho más de lo que realmente son ocultar su presencia de los escáneres que busque sólo en la fecha de archivo/veces. Esto debe recoger aquellos.

      ========== Archivos - sin nombre de la empresa ==========

      Muestra cualquier .exe, .dll,. ini, etc. archivos de cualquier fecha que no tienen un nombre de empresa.

      ========== Buscar LOP ==========

      La comprobación de Lop enumera todos los archivos y carpetas en las carpetas de datos, así como los archivos en WINDOWS\Tasks.

      Cualquier ejecución de O4 desde la carpeta de datos donde los archivos y los nombres de las carpetas son completamente aleatorios y no tienen sentido es probable que sean LOP.

      Un filtro LOP se incluye para filtrar las carpetas de buenas conocidas durante el análisis LOP

      ========== Buscar Purity ==========

      Verificación de pureza es un simple análisis con ninguna salida si no se encuentra. la infección de pureza ha sido bastante coherente a lo largo de los años y tiene una lista definida de carpetas que se crea en el conjuntos de ubicaciones. OTL comprueba todas las ubicaciones para todas las carpetas y sólo informes sobre cualquier elementos encontrados.

      ========== Secuencias de datos alternativas  ==========

      Alternate Data Streams secuencias de datos alternativos se enumeran.

      Cualquier archivo o carpeta encontró que contiene una secuencia de datos alternativa durante cualquier análisis (estándar o personalizado) será colocado en esta lista. Se omiten los ADS de ZONE.IDENTIFIER, FAVICON y ENCRYPTABLE.

      Para quitar un ADS simplemente copiar y pegar la línea en la sección :OTL de una reparación.

      ========== Archivos - Unicode (todos) ==========

      Un ejemplo podría tener este aspecto:

      [1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\N?mesList.txt

      Cualquier archivo o carpeta encontró que contienen caracteres durante cualquier análisis (estándar o personalizado) será colocados en esta lista de Unicode. Sólo incluye la línea en la sección :OTL y OTL se encargará de ellos, como cualquier otro archivo.

      Registro Addicional

      ========== Registro extra ==========

      ========== Asociaciones de archivos ==========

      Muestra el tipo de archivo y el tipo de exttensiones del archivo que esta asociado junto con la aplicación que se utiliza en el comando Abrir (por ejemplo, archivos .txt o archivos .reg)
      ========== Shell Spawning ==========

      Interfaz de listas que genera  valores para Todas las extensiones de archivo.

      Ejemplo siguiente muestra el resultado de un análisis que no muestra ninguna infección:
      Quote
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
      batfile [open] -- "%1" %* File not found
      chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Micr

    Net_SurferTopic starter

    • Senior Member
    • ***
    • Offline Offline
    • Posts: 110
    • .: Translator: Spanish OTL Tutorial
      El siguiente ejemplo muestra la infecion de Win police Pro:

    Quote
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
    batfile [open] -- "%1" %* File not found
    chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
    cmdfile [open] -- "%1" %* File not found
    comfile [open] -- "%1" %* File not found
    exefile [open] -- "C:\WINDOWS\System32\desote.exe" %* ()
    htmlfile [edit] -- Reg Error: Key error.
    htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)

    El primer elemento (por ejemplo, exefile) es la clave y el segundo elemento (por ejemplo, abierto) es el comando. Si ves eso, debe corregirlo con el \[command de <key>] valor predeterminado de la clave manualmente en la revisión. Para la configuración de comfile y exefile puede utilizar las líneas de O35 desde el análisis de registro estándar y simplemente incluirlos en la sección :OTL.

    Al preparar una corrección, para corregir los valores en la concha de desolve siempre se incluyen en la sección de :reg. Incluya lo siguiente como parte de la revisión:
    When preparing a fix, ALWAYS include a :reg section to fix the shell spawning values. Include the following as part of the fix:

    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
    ""=""%1" %*"

    Si no hacemos esto, el usuario podría ser capaz de volver a iniciar Windows sin ningún problema pero todavía no será capaz de ejecutar cualquier archivo con extension .exe.
    Nota: Para archivos .com y .exe, si ha solucionado esto mediante el elemento de O35, a continuación, no es necesario incluir la corrección de :reg para estos dos tipos.

    Ejemplo de una reparación incorrecta:

    [/list]
    Code: [Select]
    :OTL
    PRC - C:\WINDOWS\svchasts.exe ()
    SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
    O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
    [2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
    [2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
    [2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
    [2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
    [2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
    [2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
    [2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
    [2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
    [2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
    [2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro
    :commands
    [Reboot]

    Ejemplo de una reparación correcta:

    Code: [Select]
    :OTL
    PRC - C:\WINDOWS\svchasts.exe ()
    SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
    O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
    [2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
    [2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
    [2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
    [2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
    [2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
    [2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
    [2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
    [2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
    [2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
    [2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro

    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
    ""=""%1" %*"
    :commands
    [Reboot]

    ========== Configuración del Centro de Seguridad  ==========

    ========== Lista de aplicaciones Autorizadas ==========

    ========== Lista de Unistall HKEY_LOCAL_MACHINE ==========

    < Fin del informe >


    >> Referencia rápida de las directivas y comandos disponibles <<

    NOTA: Las directivas y comandos no distinguen entre mayúsculas y minúsculas.

    :processes

    Esta directiva se utiliza para detener los procesos en  memoria, ya sea de forma global, o sea, todos, o de forma individual.

    Si usted no incluye el comando [EMPTYTEMP], pero todavía quiere detener a todos los procesos antes de ejecutar una reparación, entonces puede incluir el comando killallprocesses bajo esta directiva.
     
    Ejemplos de procesos individuales: Es posible que usted desee utilizar esta directiva para detener - TeaTimer, SpywareGuard u otro programa similar que pueda intervenir con las aciones de OTL.

    :OTL

    Todas las líneas que aparecen en un registro de OTL, pertinente a un escaneo estándar o de índole personalizado de archivos y carpetas, se pueden copiar y pegar bajo la directiva :OTL para reparación o eliminación. En general :OTL quita la entrada y mueve el archivo al mismo tiempo. Si la entrada es un proceso en memoria, sin embargo, los archivos no se moverán y deberán ser incluídos bajo la directiva :FILES.

    Los elementos individuales en el archivo HOSTS (líneas O1) sólo pueden ser borrados en la sección de :OTL. Si desea re-establecer el archivo HOSTS para el valor predeterminado (sólo las líneas del localhost 127.0.0.1 y:: 1 localhost ) entonces use el comando [resethosts] bajo la directiva :commands.

    Para cualquiera de los elementos del IE, la data de el registro del sistema operacional se borrará - el valor no se eliminará.


    :Services

    Los servicios

    OTL tratará de detener y deshabilitar todos los servicios que estén activamente funcionando antes de eliminarlos. Sin embargo, debemos entender que OTL puede tener problemas con archivos que responden a programas maliciosos, ya que éstos pueden estar protegidos. En estos casos es preferible utilizar otra herramienta para eliminarlos.

    Usted también puede eliminar controladores bajo esta directiva. Asegúrese de utilizar el nombre al cual responde el controlador,  y no la descripción e éstos.

    :Reg

    Bajo esta directiva usted puede hacer cualquier tipo de reparación al  registro del sistema operacional. Una característica práctica es que usted no tiene que hacer frente a valores hexadecimales. Para los arreglos complejos consulte el siguiente ejemplo:

    Entrada errónea: -

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "authentication packages"=msv1_0 C:\WINDOWS\system32\byXoMcbC

    Para solucionar este problema en un archivo de entradas .reg, necesitaría hacer esto:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00

    Si no está seguro del valor hexadecimal, usted puede hacer lo siguiente:

    Ejemplo de Corrección: -

    :reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "Authentication Packages"=hex(7):"msv1_0"

    OTL se encargará de la conversión al valor hexadecimal.


    :Files
     
    Los archivos

    Bajo esta directiva se indican los archivos y carpetas que se han identificado de forma individual. No incluya las líneas del registro de OTL. Éstas van bajo la directiva :OTL.

    Nota: No hay un comando específico para carpetas. Solo incluya también las carpetas bajo esta directiva y serán eliminadas.


    :Commands

    Los siguientes comandos deben de estar bajo esta directiva.

    [PURITY] - Automáticamente elimina las infecciones denominadas como "Purity" del sistema. La infección Purity tiene un cuadro persistente de carpetas y archivos creados con caracteres en un formato especial denominado como Unicode. Este comando elimina la infección sin la necesidad de identificar los archivos y carpetas de forma individual.


    [EMPTYTEMP] - Use este comando para vaciar todas las carpetas que contienen archivos temporales de el usuario, el sistema y el navegador.

    Nota: Si este comando es incluido como parte de una reparación, todos los procesos serán detenidos automáticamente al principio de la misma, y un reinicio del sistema se requerirá al final por lo que no es necesario incluir explícitamente el proceso Explorer.exe bajo la directiva :PROCESESS o los comandos: [START EXPLORER] o [REBOOT] bajo la directiva :COMMANDS.

    [EMPTYFLASH] - Use este comando para eliminar todos los archivos de texto denominados "Flash Cookies".

    Nota: No todas las "Flash Cookies" son malas. Algunas sólo contienen la configuración para sitios específicos de la web, sin embargo, una vez que no estamos seguros de lo que hace cada una de éstas, el comando eliminará todas las "Flash Cookies", independientemente de su función.

    [REBOOT] - Use este comando para forzar el reinicio del sistema luego de una reparación completa.

    Nota: Esto no es necesario si el comando KILLALLPROCESSES se utiliza bajo la directiva :PROCESS o si el comando [EMPTYTEMP] se utiliza bajo la directiva :COMMANDS,  porque el sistema reiniciará automáticamente. De ser incluido, estos últimos se ignorarán.


    [RESETHOSTS] - para restaurar el archivo HOSTS a su estado original:

    127.0.0.1 localhost
    :: 1 localhost

    Cuando se ejecuta este comando, el archivo HOSTS que es reemplazado será movido a una carpeta de apoyo, "_OTL\MovedFiles", la que está asociada con toda reparación.

    [CREATERESTOREPOINT] - Esto creará un punto de restauración una vez la reparación haya finalizado.


    [CLEARALLRESTOREPOINTS] - Esto eliminará todos los puntos de restauración y creará  un nuevo punto de restauración una vez la reparación haya finalizado.

    Con cualesquiera de estos comandos relacionados con los puntos de restauración, OTL verificará si los servicios que se requiere para crear un punto de restauración están funcionando y tratara de activarlos si no lo están. Si los servicios necesarios no se están activos y no se pueden iniciar,  verás una línea en la revisión del registro relacionada con la razón por la cual el proceso no fue efectivo y tendrás que resolver este problema posteriormente.

    Nota: También puede utilizar los dos últimos comandos en un análisis. Es importante recordar que si se utiliza en un análisis que los paréntesis no están incluidos es decir, si se ejecuta en una exploración que se vería así: -

    clearallrestorepoints o createrestorepoint

    Ponga bien CREATERESTOREPOINT o CLEARALLRESTOREPOINTS en la ventana de análisis personalizados/Script de Reparacción junto con cualquier medida standard o otras exploraciones que se están ejecutando (es decir, SAFEBOOTMINIMAL o netsvcs). Los comandos no son sensibles y se puede ejecutar con cualquier análisis que usted pueda querer a correr. Una línea en el archivo de registro le mostrará cuál fue el resultado (ya sea con éxito y sin la razón por la que falló).



    Switches

    Interruptores

    Los interruptores son parámetros adicionales que se pueden usar tanto con escaneos personalizados o correcciones para mejorar lo que sale al final de un resultado de una correcion.


    Nota: Si usted incluye un interruptor no válido, una línea (Interruptor no válido :...) simplemente se coloca en el registro y la exploración continuará. Si el interruptor está mostrando como no válido, de hecho, es correcto, a continuación, compruebe el número de la versión de OTL que se está utilizando.

    Modificadores que pueden ser utilizados para realizar una exploración personalizada:

    /C - para ejecutar un comando de DOS de línea de comandos
    Ejemplo:
    set /c - para devolver todas las variables de entorno
    <nombredelservicio> net stop /c - OTL no iniciara o detenndra los servicios (sólo los elimina) para que pueda usar este interruptor con el comando net para llevar a cabo alguna tarea de gestión de servicios (iniciar, detener, pausar, continuar)
    netstat-r /c - mostrará las tablas de enrutamiento

    Cualquier comando que usted necesita para ser utilizado en una línea de comandos se puede utilizar dentro de una exploración personalizada mediante el modificador /C y en el resultado se incluirá en el registro. Esto puede eliminar la necesidad de que el usuario haga y ejecute archivos batch y luego encontrar y publicar los archivos de salida creados a partir de ellos.

    /FP - para ejecutar un archivo/nombre de la carpeta patrón de búsqueda y regresar todos los archivos y carpetas que se encuentran
    Ejemplo:
    c:\windows|myfile;true;true;true /FP

    Ejemplo:
          myfile es el patrón a buscar (volverá artículos como c:\windows\myfile.exe c:\windows\123myfile456.dat c:\windows\notmyfileeither )
          carpetas para incluir (también se incluyen artículos como c:\windows\system32 helpmyfile.dll, c:\windows\MSAgent\intl\closetomyfile.ocx)
          incluir carpetas hijas (si es verdadero y una carpeta se encuentra que coincida con el patrón de continuación, las carpetas inmediata por debajo de ella se mostrarán también)
          incluir archivos (si los archivos con nombres de verdad que coincidan con el patrón se mostrarán, si falsos entonces las carpetas sólo se mostrarán)


    El modificador /FP se utiliza internamente para algunas exploraciones únicos que se requieren durante las exploraciones estándar y la mayoría de los ayudantes probablemente no tendrá necesidad de ella, pero que puede hacer cosas muy interesantes con él así que pensé que sólo la pondría a disposición de uso. Elimina la necesidad de ejecutar dos escaneos separados (uno para las carpetas y otra para los archivos) si tiene que buscar todos los elementos de ambos.

    /MD5 - para incluir los valores de MD5 para todos los archivos
    Usted verá esto siendo usado extensivamente en la Guía de Limpieza de Malware para encontrar los archivos parchados. En este momento hay infecciones que modifican los archivos del OS de una manera que son difíciles de detectar en cualquier otra forma. MD5s son un valor único matemático que se puede calcular para un archivo y determinar el si o no si se a modificado. Aun si un solo byte en un archivo se cambia el MD5 calculado también cambiará. Algunos ejemplos de la guía son:
      %SYSTEMDRIVE%\iaStor.sys /s /md5
      %SYSTEMDRIVE%\nvstor.sys /s /md5
      %SYSTEMDRIVE%\atapi.sys /s /md5
      %SYSTEMDRIVE%\IdeChnDr.sys /s /md5
    Valores de MD5 no se almacenan en archivos, se han calculado sobre la marcha de los archivos. Las exploraciones del ejemplo de arriba búsqua la unidad de todo el sistema para el archivo especificado y devolvera todos los archivos que se encuentran con sus valores MD5 calculado. Si el MD5 del fichero en la carpeta de funcionamiento normal (es decir, system32 o system32\drivers) es diferente de aquel en las carpetas de copia de seguridad (es decir, la carpeta dllcache o la carpeta i386) entonces el archivo es más probable que este "parchado". Si el MD5 vuelve como nada, entonces es casi una garantía de que el archivo ha sido parcheado y debe ser reemplazado con una copia válida de uno de los otros lugares usando una herramienta como Avenger. Usando el valor MD5 puede estar seguro de que el archivo es legítimo.

    /MD5START and /MD5STOP - para envolver alrededor de los archivos a buscar.

    Ejemplo:
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    /md5stop

    Esto le permite comprobar los archivos que desee, sin la necesidad de incluir todas sus rutas ya que si el análisis mira estos interruptores siempre comenzará en la raíz de el systemdrive y escaneara todo el disco. Esto hace que todos los archivos se junten y mirará por cada archivo en su paso por cada carpeta de modo que sólo un pasada de la unidad del disco duro se necesita.

    Si hay un número de archivos que usted está buscando para comprobar la MD5s entonces usando /md5start y /md5stop es mucho más eficiente y produce un registro más limpio. Si sólo hay uno o dos artículos a continuación, /md5 sera Suficiente.

    Nota: Cada vez que el bloque /md5start  /md5stop es usado las búsquedas también podran ver cualquier servicepack. Cab. Si alguno de estos se encuentra, se verá en el interior para el archivo que se busca, y si uno se encuentra, lo mostrara en la siguiente lista del resultado. si este no es el caso de búsqueda sólo se utiliza /md5..


    /LOCKEDFILES - para encontrar archivos bloqueados que MD5 no puede calcular.

    La exploración simplemente coge el archivo y intenta calcular el MD5 y si no puede, reporta el resultado, saltando todos los archivos de MD5 que no puede obtener.

    Nota:Usted Deberá proporcionar una ruta/o especificación del archivo asi   como de cualquier otro archivo escaneado y el interruptor /S, si también quiere ir a través de la sub-carpetas. Así que si quería ver que archivos .dll están bloqueados sólo en la carpeta system32 se debería utilizar:

    %systemroot%\system32\*.dll /lockedfiles


    Si por alguna razón todos los archivos deben ser verificados (Windows normalmente tendrá un número de archivos bloqueados de forma predeterminada y, a menos que exista una razón particular, no es necesario para verlos todos), entonces sólo tiene que añadir el interruptor /all

    ejemplo:
    %systemroot%\system32\*.dll /lockedfiles /all

    /RS -  para realizar una búsqueda de Registro para un patrón
    Ejemplo:
    hklm\software\microsoft\windows\currentversion|somepattern /RS

    El modificador /rs buscará y devolvera todas las claves, nombres de los valores, y los datos encontrados para el patrón incluido. Si un punto de partida no se incluye (por ejemplo, somepattern /rs), entonces se buscará en las siguientes áreas:

    hklm\software\classes
    hklm\software\microsoft
    hklm\software\policies
    hklm\system\currentcontrolset
    hkcu\software\classes
    hkcu\software\microsoft
    hkcu\software\policies

    Siempre es preferible especificar un punto de partida para la búsqueda.


    /RP - para buscar todo tipo de puntos de reanálisis

    Ejemplo: c:\windows\*.* /RP or c:\windows\*. /RP

    or

    Ejemplo: c:\windows\*. /RP /s

    Uso de este parámetro se mostrarán todos los puntos de análisis (como los utilizados por la actual infección de  max++) y los resultados pueden ser simplemente colocados en la sección de :OTL para reparación que deben eliminarse. Con /s se incluye a través de todas las subcarpetas.

    /HL -  para buscar sólo los enlaces duros

    Ejemplo:
    c:\windows\*.* /HL or c:\windows\*. /HL


    /JN - para buscar sólo uniones

    Ejemplo:
    c:\windows\*.* /JN or c:\windows\*. /JN


    /MP - para buscar sólo los puntos de montaje

    Ejemplo:
    c:\windows\*.* /MP or c:\windows\*. /MP

    Al momento de escribir un análisis muy útil que puedes agregar a su análisis personalizados sería:

    %systemroot%\*. /mp /s

    Esto podra encontrar todos los puntos de montajes de la infecion actual con su exploración inicial de max++  en un sistema (o una exploración posterior) y se podía eliminar con su reparación inicial.

    /SL -  sólo para buscar enlaces simbólicos

    Ejemplo:
    c:\windows\*.* /SL or c:\windows\*. /SL

    /SP - para realizar una búsqueda similar de cadena desde adentro de archivos

    Ejemplo:
    c:\windows\*.*|somepattern /SP

    Tiempo atras este comando WinPFind, se utilizaba muy a menudo para encontrar firmas de malware en los archivos. No se utiliza a menudo hoy, pero todavía está disponible.

    /S - para incluir subcarpetas en una búsqueda de archivos o claves de sub-registro

    Ejemplo:
    c:\windows\*.dat /S
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI /S

    Este código también se utiliza a menudo en conjunto con los códigos MD5 / o / U para incluir subcarpetas en una búsqueda de archivos.

    /U - para incluir sólo los archivos Unicode en una búsqueda
    Ejemplo:
    c:\windows\*.* /U

    Los archivos y carpetas con los valores Unicode en sus nombres frecuentemente se ven como elementos legítimos en el Explorador. Durante las exploraciones estándar, OTL colocará automáticamente todos los archivos o carpetas que se encuentran con valores de Unicode en la sección de un registro Unicode  y estos pueden ser reparados tan fácilmente como cualquier otro archivo o carpeta con sólo colocar las líneas en la sección :OTL en la ventana de reparación . Usando muchas exploraciónes, los nombres de estos archivos o carpetas no se interpreten adecuadamente y se mostrará con un signo de interrogación: ? donde los caracteres Unicode son lo que hace imposible determinar qué quitar. OTL se encarga de eso para usted. El uso del modificador /U en una exploración personalizada devolverá sólo los archivos y carpetas encontrados que contienen caracteres Unicode en sus nombres.

    Un ejemplo de un resultado es:
    < c:\*.* /U >
     
    ========== Files - Unicode (All) ==========
    [1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\NamesList.txt

    /X - para excluir archivos de una búsqueda
    Ejemplo:
    c:\windows\*.exe /X

    Esto excluirá todos los archivos .Exe y mostrara todo lo demás.

    /64 - específicamente para búscar en carpetas 64bit o claves del Registro en sistemas operativos de 64 bits
    Ejemplo:
    c:\windows\system32\*.dat /64
    hklm\software\microsoft\windows\currentversion\run /64

    Debido a que OTL es una aplicación de 32 bits, si el interruptor /64 no se utiliza cuando se escanea en un SO de 64 bits, el sistema operativo pasará automáticamente la exploración a las áreas de 32-bit del sistema de archivos o el registro en su caso. Este interruptor se anula tal comportamiento por defecto y forza la exploración de las áreas de 64-bit cuando sea necesario.

    /<some number> - para incluir sólo los archivos o carpetas con una cierta cantidad de días de edad
    Ejemplo:
    c:\windows\system32\*.* /3

    Mirando el ejemplo de arriba, esta exploración sólo devolverá los archivos creados en los últimos 3 días.

    Commands/Switches

    Comandos/Interrumptores que se pueden usar en la secion de :FILES al realizar una reparación:

    [override] and [stopoverride] - para anular la lista interna de archivos o carpetas que no son móvibles
    Ejemplo:
    :FILES
    [override]
    c:\windows\system32\userinit.exe
    [stopoverride]

    OTL incluye una lista de alrededor de 100 archivos y carpetas que no se pueden mover de forma predeterminada. Esto es para evitar mover inadvertidamente archivos o carpetas principales del sistema operativo que podrían hacer que un sistema no inicie o o lo haga inutilizable. Esta característica puede ser anulada mediante estos comandos, pero tenga mucho cuidado al incluirlos. Un comando [stopoverride] siempre debe incluirse lo antes posible, siempre que el comando de [reemplazar] se utiliza para evitar que se mueva por error un archivo interno requerido del sistema.


    /<some number> - al igual que en análisis personalizados, este parámetro agregara todos los archivos similares que coinciden y también limita los movimientos a los archivos o carpetas que se han creado dentro del número especificado de días.
    Ejemplo:
    :FILES
    c:\windows\system32\*.dll /2

    Esto moverá todos los archivos .dll en la carpeta system32 que se han creado dentro de 2 días. Puede ser muy útil pero también puede ser peligroso. Aquí tenga cuidado con el uso de este modificador.

    /64 - para acceder a los lugares específicos de la carpeta 64-bit en lugar de las ubicacion por defecto de 32 bits en sistemas operativos de 64 bits y si el archivo se encuentra moverla de allí.
    Ejemplo:
    :FILES
    c:\windows\system32\badfile.exe /64

    Esto hará que OTL busque en la carpeta de 64-bit system32 en lugar de en el de 32-bit system32.

    @ - Para eliminar secuencias de datos alternos.
    Ejemplo:
    :FILES
    @c:\windows\system32:somedatastream

    Normalmente no se necesita usar esto en OTL en el caso que una exploración se aya realizada con OTL, porque todos los archivos con ADSs se enumeran en la sección Alternate Data Streams del registro y usted puede simplemente copiar y pegar las líneas en la sección :OTL en la reparación. Si una exploración se realizó con otra herramienta que no permite soluciones o no puede quitar ADSs entonces usted puede reparar los archivos con este comando en la sección :Files.

    /C - para ejecutar un comando de DOS en línea de comandos

    Es poco probable que este parámetro se utiliza a menudo. Otros interruptores / comandos cubren la mayoría de estas cosas ... por ejemplo, para copiar un archivo que normalmente se utiliza el parámetro /replace en vez de un comando de DOS. Sin embargo puede haber ocasiones en que sería útil. Por ejemplo, es posible que desee detener un servicio temporal (en vez de eliminarlo - con el comando :Services para facilitarlo) en cuyo caso se puede utilizar un comando de DOS.
    Ejemplo:
    :files
    net stop <service> /c
    <do something here>
    net start <service> /c

    /D - para eliminar el archivo en lugar de moverlo
    Ejemplo:
    :Files
    % programfiles%\*. dll /D

    Esto eliminará todos los archivos que se ajusten a la especificación en lugar de moverlos. Un lugar común el uso de esto es con los archivos .tmp pero se puede utilizar con cualquier archivo o mover carpetas. ¡Ten cuidado!


    /E - Para extraer un determinado archivo de un archivo .cab archivo.
    Ejemplo:
    :FILES
    C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E

    Siempre será extraído a la raíz de la unidad del sistema, no hay ninguna opción para extraerlo en cualquier otro lugar. De allí, usted puede utilizar el parámetro /replace para reemplazar el archivo actual activo con el archivo extraído. Esto siempre será un proceso de dos pasos porque el archivo activo, no podría ser sustituido de inmediato y en ese caso un reinicio del systema se requiere y el paso /replace se hará cargo de ello.

    El proceso completo que permite extraer un archivo y reemplazar el archivo actual activo en la carpeta de los conductores seran algo como:
    Ejemplo:
    :files
    C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /e
    C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace

    Nota: Asegúrese siempre de poner el paso de extracción antes del paso de sustitución o no funcionará!.

    /lsp - Para eliminar un archivo desde LSP.
    Ejemplo:
    :Files
    helper32.dll /lsp
    winhelper86.dll /lsp

    Para cada línea, OTL pasará a través de toda la pila, quite todas las entradas que incluyen ese archivo, y si se quitan seria reconstruida la pila.

    /replace

    <original file>|<new file> /replace

    Ejemplo:

    :files
    C:\WINDOWS\System32\drivers\atapi.sys|c:\atapi.sys /replace
    <original file>|<new file> /replace

    Si el archivo no puede ser sustituido de inmediato (que podría estar en uso) a continuación, tendrá reiniciar el sistema para terminar el movimiento.

    Los archivos originales y los nuevos no necesitan tener el mismo nombre o incluso ser del mismo tipo.

    Nota: Cuidado que esto funciona de manera diferente a FCopy:: en la herramienta de ComboFix es decir, en el nuevo archivo viene al final - al revés de ComboFix.


    Nota 2: Si usted está tratando de mover un archivo desde un archivo cab que tendrá que ser extraído antes de reemplazar el archivo malo - ver /E anterior.

    /S - para recurrir a sub-carpetas y eliminar todos los archivos encontrados conforme a la especificación
    Ejemplo:
    :FILES
    c:\windows\*.dat /S

    Esto eliminará todos .dat en la carpeta c:\windows y todas las subcarpetas

    /U - para mover sólo los archivos o carpetas con caracteres Unicode en sus nombres
    Ejemplo:

    :FILES
    c:\windows\?ystem32 /U
    %commonprogramfiles%\s?stem /U
    c:\windows\expl?rer.exe /U /S

    Cada uno de estos comandos sólo moverá el archivo o la carpeta que contiene caracteres Unicode en la posición de la? y no tocará ningún archivo legítimo o carpetas con un nombre coincidente con el patrón. Normalmente aparecerán los archivos o carpetas como este con la infección Purity (donde puede simplemente usar el comando [purity] en la sección de :commands), pero podría haber otros archivos o carpetas que requieren este tipo de movimiento también.

    Cualquiera de estos interruptores se pueden mezclar y combinar para satisfacer las necesidades específicas de la situación.

    CleanUp

    Use el boton de Limpiar en OTL para remover las herramientas o reportes despues que ya no se necesitan. Esto es preferible descargar OTC cuando ninguna herramienta de Old Timer esta presente en su maquina.

    Esta es al lista de herramientas que se borraran de su computadora si se encuentran presente:


    !Killbox
    *.run
    _backupD
    _OTL
    _OTListIt
    _OTM
    _OTMoveIt
    _OTS
    _OTScanIt
    404fix.exe
    Avenger
    avenger.exe
    avenger.txt
    avenger.zip
    AWF.txt
    BFU
    bfu.zip
    catchme
    catchme.exe
    ckscanner
    cleanup.txt
    ComboFix
    ComboFix*.txt
    combofix.exe
    combo-fix.exe
    Combo-Fix.sys
    dds.com
    dds.pif
    dds.scr
    Deckard
    defogger
    delete.bat
    deljob
    deljob.exe
    dss.exe
    dumphive.exe
    erdnt\subs
    exehelper
    Extras.txt
    fdsv.exe
    FindAWF.exe
    fixwareout
    fixwareout.exe
    fsbl*.log
    fsbl.exe
    gmer
    gmer.dll
    gmer.exe
    gmer.ini
    gmer.log
    gmer.sys
    gmer_uninstall.cmd
    grep.exe
    haxfix.exe
    haxfix.txt
    iedfix.exe
    killbox.exe
    logit.txt
    Lop SD
    lopR.txt
    LopSD.exe
    moveex.exe
    nircmd.exe
    NoLop.exe
    NoLop.txt
    NoLopOLD.txt
    OTH.exe
    OTL.exe
    OTL.txt
    OTListIt.txt
    OTListIt2.exe
    OTLPE
    OTM.exe
    OTMoveIt.exe
    OTMoveIt2.exe
    OTMoveIt3.exe
    OTS.exe
    OTS.txt
    OTScanIt
    OTScanIt.exe
    OTScanIt2
    OTScanIt2.exe
    OTViewIt.exe
    OTViewIt.txt
    QooBox
    rapport.txt
    Rooter$
    Rooter.exe
    Rooter.txt
    RSIT
    RSIT.exe
    Runscanner
    Runscanner.exe
    Runscanner.net
    Runscanner.zip
    Rustbfix
    rustbfix.exe
    SDFix
    sdfix.exe
    sed.exe
    Silent Runners.vbs
    SmitfraudFix
    SmitfraudFix.exe
    swreg.exe
    Swsc.exe
    Swxcacls.exe
    SysInsite
    systemlook
    TDSSKiller
    TDSSKiller.zip
    TDSSKiller.exe
    TDSSKiller*.txt
    tmp.reg
    vacfix.exe
    vcclsid.exe
    VFind.exe
    VundoFix Backups
    VundoFix.exe
    vundofix.txt
    vundofix.vft
    win32delfkil.exe
    windelf.txt
    WinPfind
    winpfind.exe
    WinPFind35u
    WinPFind35u.exe
    WinPFind3u
    WinPFind3u.exe
    WS2Fix.exe
    zip.exe

    Este tutorial fue modificado por última vez 12 de agosto de 2010 (hora de Nueva Zelanda en la fecha)


     

    * Permissions
    You can't post new topics.
    You can't post replies.
    You can't post attachments.
    You can't modify your posts.
    BBCode Enabled
    Smilies Enabled
    [img] Enabled
    HTML Disabled


    Except where otherwise stated, all content, graphics, banners and images included © 2006 - 2017 Smokey Services™ -- All rights reserved
    Design board graphics, banners and images by Meg&Millie - Emma aka Tinker

    This site does not store profiling-, tracking-, third-party and/or any other non-essential cookie(s) on client computers and is fully compliant with the EU ePrivacy Directive
    Smokey's does not use any Web Analytics/Analysis Service, and also does not use any browser fingerprinting techniques

        

      

    Smokey's also provides free fully qualified FRST (Farbar Recovery Scan Tool) Log / Malware Analysis & Removal Help and System Health Checks
    rifle
    rifle
    rifle
    rifle