Welcome to Smokey's Security Forums.
Guests have only limited access to the board and it's features, please consider registering to gain full access!
Registration is free and it only takes a few moments to complete.

Smokey's Security Forums

Please login or register.

Login with username, password and session length
Advanced search  

News:

TeslaCrypt victims can now decrypt their files for free

Victims of the widespread TeslaCrypt ransomware are in luck: Security researchers have created a tool that can decrypt files affected by recent versions of the malicious program.
Surprisingly, the TeslaCrypt creators themselves helped the researchers.

TeslaCrypt victims can now decrypt their files for free



Malware Log Analysis & Removal Help * OTL (OldTimer ListIt) Tutorials & Tools * Microsoft Security Info, Alerts & Download Centers * Official Jetico Inc. Support Forums

Über © Urheberrecht OTL Anleitung - Wie man Oldtimer ListIt benutzt

Übersetzung Englische - Deutsche Sprache: myrti und schrauber
Urheberrecht Originale Anleitung © 2016 emeraldnzl
Urheberrecht Modifizierte Anleitung © 2016 Smokey Service

Share this topic on FacebookShare this topic on MySpaceShare this topic on RedditShare this topic on TwitterAuthorTopic: [DEUTSCH] OTL Anleitung - Wie man Oldtimer ListIt benutzt  (Read 36257 times)

0 Members and 1 Guest are viewing this topic.

schrauberTopic starter

  • Visiting Staff
  • *
  • Offline Offline
  • location: Germany
  • Posts: 137
  • .: Translator: German OTL Tutorial

OTL ist ein flexibles und vielseitiges Programm zur Analyse und Bereinigung des Systems.

*************************

EinfĂŒhrung

Spenden Informationen

OTL ist kostenlos. Jedoch ist es das Ergebnis von erheblichem Zeitaufwand und Anstrengungen durch Oldtimer. Das Programm beinhaltet mehrere tausend Zeilen Code, und wird sehr oft aufgrund der wechselnden Malware upgedatet. OldTimer opfert auch unzĂ€hlige Stunden mit der UnterstĂŒtzung der Helfer an den Foren und deren Usern.Wenn Du das Programm hilfreich findest und seine Anstrengungen unterstĂŒtzen möchstest, kannst Du ihm eine Tasse Kaffee spendieren, oder auf den Paypal Link klicken:

Tutorial Informationen

Dieses Tutorial wurde kreiert und ist Besitz von emeraldnzl. Bitte wendet Euch an emeraldnzl wenn Ihr aus diesem Tutorial zitieren oder es an anderen Seiten posten wollt. Dieses Tutorial wurde eigentlich dazu erstellt, den verschiedenen Helfern an den diversen Foren Hilfestellung zu bieten.

Hinweis: Dies ist die Originalkopie des Tutorials. Falls Ihr dieses nach Absprache bei einer anderen Seite postest kontrolliert bitte das Datum unten rechts, damit Ihr auch immer die aktuelle Version habt. Diese Programme sowie die Anleitungen werden stÀndig aktualisiert.

Wichtiger Hinweis!: WÀhrend OTL in erster Linie ein diagnostisches Werkzeug ist, besitzt es fortgeschrittene Beseitigungsmechanismen. Wenn Du die Instruktionen in dieser Anleitung nicht verstehst, suche bitte Hilfe von einem Experten, der in einem der Foren unten verzeichnet ist. Bitte extrem vorsichtig vorgehen, wenn Ihr irgendwelche Scripte erstellt. Unpassender Gebrauch kann Datenverlust oder ein nicht mehr lauffÀhiges System verursachen.

Übersetzungen

Dieses OTL Tutorial wird in mehreren Sprachen angeboten (Links fĂŒhren auf andere Seiten).

English/Englisch:Smokey's Security Forums

Spanish/Spanisch:Smokey's Security Forums

French/Französisch:Assiste


Foren, die OTL als erstes Diagnose-Programm benutzen, und kostenlosen Hilfe anbieten

Englisch:Französisch:Portugiesisch:.

Inhaltsverzeichnis
.

UnterstĂŒtzte Betriebssysteme

OTL hat 32-bit- und 64-Bit-FunktionalitÀt. Es arbeitet mit allen Windows NT Versionen von Windows 2000 bis Windows 7.

Es lÀuft nicht auf Windows 9/x Versionen.

Diagnose

OTL wird meist als Analysetool genutzt um sich zu Beginn des Threads einen Überblick ĂŒber das System zu verschaffen, dabei liefert es nicht nur Informationen ĂŒber vorhandene Malware, sondern auch einen Überblick ĂŒber den Zustand des betroffenen Systems im Allgemeinen.
Zudem kann man OTL auch als Bereinigungstool fĂŒr die Nachsorge einsetzen, wenn vorher mit einem anderen Tool (zb Combofix) bereinigt wurde. Es kann dabei ein besseres VerstĂ€ndnis der BefĂ€lle bringen und ermöglicht ein einfaches Handhaben von Bereinigungen die sonst riskant oder langwierig wĂ€ren. Eine von OTL's besonderen StĂ€rken sind seine Custom Scans: Man kann mit ihnen nach jeder beliebigen Datei und jedem Registryeintrag suchen. Das ist von Vorteil, da das Programm nicht neugeschrieben werden muss, wenn Malware neue Wege findet um ein System zu infizieren. Es reicht einen neuen zusĂ€tzlichen Scan hinzuzufĂŒgen, um die notwendigen Infos zu bekommen. Im Verlauf der Zeit, wenn die Malware ausstirbt und neue Infektionen erscheinen, können derartige angepasste Scans ohne Aufwand entfernt oder aktualisiert werden. So kann man seine persönliche Liste an angepassten Scans erstellen und genau die Informationen abfragen, die einen interessieren.

Fixes

OTL hat eine große Auswahl an Befehlen, die verwendet werden können um laufende Prozesse zu manipulieren und identifizierte Probleme zu beheben.

Ausserdem gibt es mehrere Schalter, die sowohl zur Analyse als auch zur Bereinigung eingesetzt werden können.

Cleanup

Die Funktion CleanUp von OTL entfernt automatisch viele der wÀhrend der Bereinigung genutzten Werkzeuge.

Vorbereitung

Die heutige Malware ist im Stande, all unsere Tools die wir benutzen, zu stören. Falls die OTL.exe mal behindert werden sollte besteht die Möglichkeit diese in OTL.com umzubenennen.

OTL legt keine Registrysicherungen an! Wenn der Helfer nicht selber Backups mit Erunt macht, muss er bei auftretenden Probleme mit der Systemwiederherstellung arbeiten.

OTL deaktiviert den automatischen Zeilenumbruch in Notepad, sodass es beim Erstellen des Logfiles nicht zu Komplikationen kommt. Bei Nutzung der Cleanup Funktion wird dieser wieder auf den Standardwert zurĂŒckgesetzt.

OTL benutzen

Der User wird beauftragt, OTL auf den Desktop zu laden. Von dort ist es einfach, OTL durch einen Doppelklick zu starten. Das OTL-Icon sieht so aus wie folgt:


Wenn OTL gestartet ist, wird dem Benutzer eine Konsole geboten, die so aussieht:


Anhand des folgendes Bausteins fĂŒr OTL kann man sich ein Bild machen, wie dem Benutzer ĂŒber das Forum vermittelt werden kann, wie er das Programm zu konfigurieren hat:

Code: [Select]
[list]
[*]Lade [url=http://oldtimer.geekstogo.com/OTL.exe][b][color=#FF0000]OTL[/color][/b][/url] auf Deinen Desktop.
[*]Doppelklicke auf das Icon um das Tool zu starten. Vergewissere Dich dass alle anderen Programme beendet sind und lass das Tool ungehindert laufen.
[*]Wenn das OTL Fenster auftaucht, klicke unterhalb von [u][b]Ausgabe[/b][/u] auf [b]Minimal Ausgabe[/b].
[*]Unter der Box [b]Standard Registrierung[/b] wechsle zu [b]Alles[/b].
[*]Setze einen Haken neben die KĂ€stchen [b]LOP PrĂŒfung[/b] und [b]Purity PrĂŒfung[/b].
[*]Klicke auf den [u]Run Scan[/u] Button. Ändere keine Einstellungen, ausser Du wirst dazu aufgefordert. Der Scan dauert nicht lange.
[*]Wenn der Scan beendet ist werden sich 2 Notepad-Fenster öffnen, [b]OTL.Txt[/b] und [b]Extras.Txt[/b]. Diese werden am selben Ort gespeichert wie OTL.
[*]Bitte kopiere [b](Bearbeiten->Alles Markieren, Bearbeiten->Kopieren)[/b] Den Inhalt dieser Textdateien, eine nach der anderen, und poste sie in Deiner nÀchsten Antwort.
[/list]

Nach dem ersten Durchlauf von OTL, werden Kopien der Logfiles im OTL-Ordner gespeichert. In darauffolgenden LĂ€ufen wird nur die OTL.txt erzeugt.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • :\_OTL\Moved Files
      In den meisten FĂ€llen wird dies C:\_OTL\Moved Files sein


Download Links
Direkte Download Links

Die korrekten Downloadlink mit den aktuellen Version ist http://oldtimer.geekstogo.com/OTL.exe

FĂŒr Nutzer, die keine ausfĂŒhrbaren Dateien laden können, gibt es hier OTL mit .com oder .scr Erweiterung.

Links:
http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

Hinweis: Nutzt den Internet Explorer, um diese Dateien zu laden. Wenn Ihr Firefox benutzt, macht bitte einen Rechtsklick auf den Downloadlink und wĂ€hlt "Ziel speichern unter" aus dem KontextmenĂŒ.

Ausgabe
Header

Hier ist ein Beispiel eines Headers:

OTL logfile created on: 16/09/2009 12:11:33 PM - Run 1
OTL by OldTimer - Version 3.0.14.0 Folder = C:\Documents and Settings\John Doe\Desktop\Geekstogo
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C09 | Country: Australia | Language: ENA | Date Format: d/MM/yyyy

494.80 Mb Total Physical Memory | 154.25 Mb Available Physical Memory | 31.17% Memory free
1.13 Gb Paging File | 0.74 Gb Available in Paging File | 65.64% Paging File free
Paging file location(s): C:\pagefile.sys 744 1488 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 37.26 Gb Total Space | 19.84 Gb Free Space | 53.25% Space Free | Partition Type: NTFS
Drive D: | 7.58 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: UDF
Drive E: | 22.20 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: YOUR-4DACD0EA75
Current User Name: HP_Administrator
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan


Ein aufmerksames Studieren dieser Information kann jede Menge Zeit bei weiteren Arbeiten ersparen.

Beschreibung der einzelnen Zeilen

Die erste Zeile: Datum und Uhrzeit des Laufs sowie Angabe um welchen Lauf es sich handelt.

Hinweis: Das Datum wird im jeweiligen vom User eingestellten Format angezeigt.

Somit warnt uns diese Zeile auch, falls ein User irrtĂŒmlich ein altes Logfile postet.

Die zweite Zeile: Versionsnummer und Speicherort. Bitte darauf achten, dass immer die neueste Version von OTL verwandt wird um zu verhindern, dass bereits behobene Bugs weiterhin zu Problemen fĂŒhren.

Die dritte Zeile: Windows-Version sowie Angabe des Dateisystems.  Man sollte dabei immer darauf achten, dass die in Folge angewandten Programme auch auf dem System laufen.

Die vierte Zeile: Version des Internet Explorers. Achtung bei installiertem IE8, dieser kann auf einigen Maschinen Probleme verursachen.

Die fĂŒnfte Zeile: Angaben zu Land, Sprache, Datumsformat und Betriebssystem. Kann in der Vorbereitung von Antworten nĂŒtzlich sein. Eine Liste der verwandten Akronyme kann hier gefunden werden:http://www.microsoft.com/globaldev/reference/winxp/langtla.mspx.

Die sechste Zeile:Angabe des totalen und freien Arbeits- und Festplattenspeichers.

Achtung: Die Angaben mĂŒssen nicht unbedingt mit dem Übereinstimmen, was der Benutzer zu glauben besitzt. Die RAM-GrĂ¶ĂŸe wird zum Beispiel dann als geringer ausgegeben, wenn das System nicht auf das gesamte RAM zugreifen kann. Das ist der Fall wenn zum Beispiel das RAM kaputt ist oder es Probleme mit den Motherboard Slots gibt. Es kann ebenfalls sein, dass das BIOS nicht alles erkennen kann (sprich ein Upgrade braucht). Da OTL eine 32bit Anwendung ist, kann es zudem maximal 4Gb erkennen, auf Systemen mit mehr als 4Gb RAM ist diese Angabe falsch.

Die siebte und achte Zeile: Speicherort der Pagefile sowie die GrĂ¶ĂŸe der Datei und die Nutzung des reservierten Speicherplatz.

Die neunte Zeile: Gibt den Inhalt der Variablen %systemdrive%, %systemroot% und %programfiles% an.

Die folgenden Zeilen: Angabe zu Ort, Formatierung und Aufteilung der einzelnen Laufwerke. Wenn weniger als 15% der Partition frei ist, kann dies negative Auswirkungen auf das AusfĂŒhren von Programmen haben. Wenn der freie Platz wirklich sehr gering ist, etwa unter 5%, besteht das Risiko, dass der PC durch das AusfĂŒhren eines Programms unbootbar wird.
OTL gibt immer die Laufwerke C: bis I: aus, egal ob diese Laufwerke auch wirklich existieren oder nicht. Bei den Laufwerken J: - Z: werden nur die angegeben, die vorhanden sind.


Die darauffolgenden Zeilen sind selbsterklĂ€rend, sie geben an in welchem Modus der Rechner gestartet wurde, ob OTL nur die Einstellungen des eingeloggten Benutzers oder die aller Benutzer gescannt hat, ob 64bit spezifische Scans ausgefĂŒhrt wurden, ob die Whitelist fĂŒr Firmennamen aktiv war, ob MS Dateien ausgefiltert wurden, welches maximale Alter fĂŒr die Dateiscans genutzt wurde, ob fĂŒr die Ausgabe "Standard" oder "Minimal" ausgewĂ€hlt wurde und ob es sich um einen normalen oder einen schnellen Scan handelt.

OTL fĂŒgt Hinweise zu bestimmten Log-EintrĂ€gen hinzu:

[2008/01/20 21:52:15 | 01,216,000 | ---- | M - der letzte Charakter innerhalb der Klammern, C oder M, steht fĂŒr neu erstellt oder modifiziert.

Alle Scans außer dem Files Created scan und den Files Created No Company Name scans werden das Datum anzeigen, an dem die Datei das letze Mal verĂ€ndert wurde. Die zwei Created scans zeigen das Datum, an dem die Datei erstellt wurde. Viel Malware werden das modifizierte Datum benutzen, um sich zu verbergen oder sich mit anderen Dateien in einer Reihe auflisten zu lassen. Wenn eine Datei oder ein Ordner ein Modifizeriungs-Datum 2003 zeigt, aber 2010 erschaffen worden ist, sollte man sich diese EintrĂ€ge genauer anschauen.

[2010/03/15 18:25:02 | 1609,916,416 | -HS- | M] () -- C:\hiberfil.sys - die vier Attribute nach der DateigrĂ¶ĂŸe können RHSD sein und stehen fĂŒr:

R - Nur Lesen
H - Versteckt
S - System
D - Ordner

SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()  - zeigt an, dass es keinen Firmennamen gibt. Der Firmenname wird innerhalb der Schleife erscheinen. Der grösste Teil von Malware wird keinen Firmennamen haben (aber einige benutzen einen um sich zu verbergen), aber nicht alle Dateien ohne einen Firmennamen sind schĂ€dlich.

[2009/03/10 15:54:00 | 00,000,000 | ---D | M - dies zeigt einen Ordner (D) der am 03.10.2009 verÀndert (M) wurde.
In diesem Fall ist das Beispiel ein Ordner wo das Datum das Datum der VerÀnderung anzeigt.

Ordner haben immer eine DateigrĂ¶ĂŸe von null, wie das Beispiel zeigt. Eine Datei hat nicht das Attribut D und normalerweise eine DateigrĂ¶ĂŸer grĂ¶ĂŸer Null.

Standard Scan Areas

PRC - Processes
MOD - Modules
SRV - Services ( O23 in HJT )
DRV - Drivers
Standard Registry
IE - Internet Explorer Settings
FF - FireFox Settings
O1 bis O24 - das Gleiche wie in einem HJT log
O27 Image File Execution Options
O28 Shell Execute Hooks
O29 Security Providers
O30 Lsa
O31 SafeBoot
O32 Autorun files on drives
O33 MountPoints2
O34 BootExecute
O35 - .com and .exe shell spawning values
O36 appcert dlls
O37 file associations  (for .com and .exe shell spawning values)

Files/Folder scans

Extra Registry - wird nur beim ersten Lauf automatisch ausgefĂŒhrt. Wenn diese Infos nochmal zusammengestellt werden sollen, muss der User entprechend darauf hingewiesen werden, die All Option bei der Extra Registry Gruppe anzuhaken.
File Associations
Shell Spawning
Security Center
Authorized Applications (wenn es sich nicht um ein Vista-System handelt)
Vista Firewall Rules (Wenn es sich um ein Vista-System oder neuer handelt)
Uninstall List
Event Viewer (letzten 10 Fehlermeldungen aus jedem der drei Ereignisanzeigen)

Der Scan kann je nach Bedarf in zwei verschiedenen Varianten prÀsentiert werden, als Standard- oder minimale Ausgabe. AuswÀhlbar in der Werkzeugleiste.
Weiterhin kann man sich mit Hilfe der Safelist bekanntermaßen gute Prozesse ausblenden lassen (Default Wert) oder mithilfe der "alles" Option, alle EintrĂ€ge anzeigen lassen.

Hinweis: Bei der Standardausgabe werden Datums- und Zeitangaben der Dateien angezeigt, wĂ€hrend mit der minimalen Ausgabe nur der Dateiname / Pfad und Firmenname angegeben werden. FĂŒr die Processes, Modules, Services, Drivers, und File Scans wird die Ausgabe nach dem Datum der Dateien sortiert. Bei allen anderen Custom Scans wird die Ausgabe nach Pfad und Dateiname sortiert. Bei 64 Bit Betriebssystemen wird am Anfang der Ausgabe ein 64-Bit-Symbol zu sehen sein.

Die Safelist ist eine Liste von derzeit mehr als 600 Dateien von Microsoft, die bei einem Scan nicht angezeigt werden, ausser die All Option-Ausgabe wurde aktiviert.

Hinweis 2: Bei einem Custom Scan ist es zwingend notwendig, den Run Scan Button zu benutzen. Wird der Quick Scan Button benutzt, lÀuft der Scan mit den Standardeinstellungen.


Es gibt auch einige zusÀtzliche vordefnierte Befehle, die im Custom Scan verwendet werden können:

Hinweis:  Bis auf die Ausgabe des HijackThisBackups-Befehl, können alle EintrĂ€ge direkt in die :OTL Sektion eines Custom Fixes kopiert werden.


hijackthisbackups - zeigt alle HJT-Backups
netsvcs - zeigt EintrÀge unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
msconfig - zeigt EintrÀge unter HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig
safebootminimal - zeigt EintrÀge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal
safebootnetwork - zeigt EintrÀge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network
activex - zeigt EintrÀge unter HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed Bestandteile
drivers32 - zeigt EintrÀge unter HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32

Hinweis: StandardmĂ€ĂŸig wird bei jedem der vordefinierten Befehle die Safelist verwendet,um bekannte gute EintrĂ€ge herauszufiltern. Um alle EintrĂ€ge angezeigt zu bekommen, muss am Ende des Befehls der /ALL Schalter angewendet werden.(BSP: netsvcs / ALL).

Example Output

Processes

Zeigt die laufenden Prozesse auf dem System:

========== Processes (SafeList) ==========

Standard:
PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:\OldTimer Tools\OTL.exe

Minimal:
PRC - C:\OldTimer Tools\OTL.exe (OldTimer Tools)

Modules

========== Modules (SafeList) ==========

Standard:
MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll

Minimal:
MOD - c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll (Agnitum Ltd.)

Services

Zeigt die laufenden Dienste auf dem System:

========== Win32 Services (SafeList) ==========

Standard:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)

Minimal:
SRV:64bit: - (WMPNetworkSvc) -- C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()

Drivers

Zeigt die Treiber des Systems. Werden im Quick Scan standardmĂ€ĂŸig nicht gezeigt. Sie mĂŒssen gesondert ausgewĂ€hlt werden und der Run Scan Button muss benutzt werden.

========== Driver Services (SafeList) ==========

Standard:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -- C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:\Windows\SysWOW64\drivers\StarOpen.sys -- (StarOpen)

Minimal:
DRV:64bit: - (afwcore) -- C:\Windows\SysNative\drivers\afwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:\Windows\SysWOW64\drivers\StarOpen.sys ()

Standard Registry

========== Standard Registry (SafeList) ==========

Internet Explorer

========== Internet Explorer ==========

Dieser Abschnitt zeigt die Internet Explorer Einstellungen

Quote
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.co.uk/talktalk
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80



Schauen wir uns ein paar Beispiele genauer an:

  • IE Standardstartseite: MSN
    .
  • IE Standardsuchmaschine: Bing
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
  • IE 7 Mode "NoAdd-Ons" wird ausgefĂŒhrt.
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
  • local page ist leer. Eine andere Enstellung könnte so sein =C:\WINDOWS\System32\blank.htm.
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
  • Informiert den User nicht mit den gegnwĂ€rtigen Sicherheitseinstellungen zu surfen, da sie ein Risiko fĂŒr das System darstellen.  Hier findet man eine Liste von about:Adressen.
    .
  • Yahoo web page
  • Steht im Zusammenhang mit Yahoo BHO.
    .
  • Standard Startseite des Nutzers
    .
  • Google ist als Haupt-Suchseite eingerichtet
    .
  • Zeigt Google als voreingestellte Such-Engine
    .
    Proxy settings.

    • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
  • = 0 zeigt den  Proxy Server als deaktiviert (den Wert auf 1 setzen um  'ProxyEnable' zu erreichen)
     .
    • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
  • Listet die Ausnahmen, fĂŒr den der Proxy nicht genutzt wird. Hier sind dass alle netzwerkinternen Adressen
    .
    • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80
  • Ist keine regulĂ€re IP aber 0.0.0.0 heißt "Jede IP die der Computer anbietet". Darin inbegriffen sind alle externen IPs, sowie die loopback IP 127.0.0.1 ĂŒber die einige Programme miteinander kommunizieren. Viele AVP erzeugen einen derartigen Proxy um ausgehende Mails zu filtern.

    Firefox

    ========== FireFox ==========

    Dieser Bereich zeigt die Firefox Einstellungen.

    Quote
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
    FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
    FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
    FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
    FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
    FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
    FF - prefs.js..network.proxy.no_proxies_on: "localhost"

    FF - HKLM\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:\program files\real\realplayer\browserrecord\firefox\ext [2009/09/06 17:41:17 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Components: C:\Program Files\Netscape\Netscape Browser\Components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Plugins: C:\Program Files\Netscape\Netscape Browser\Plugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]


    Taking some items from the above example we see:
    .
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
  • Sun's Java Console
    .
    • FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
  • Java quick starter Addon
    .
    • FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
  • Microsofts .NET Framework Assistent fĂŒr Firefox
    .
    • FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
  • Real Player
    .
    • FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
  • Skype
    .

    O1 bis O22 und O24

    Dieser Abschnitt ist dem eines Hijackthislogs sehr Ă€hnlich. Hilfreich ist dafĂŒr das Tutorial bei Bleeping Computer.

    O10 benötigt eine extra ErklÀrung: Entgegen HijackThis wird OTL die KatalogeintrÀge eines Fixes bearbeiten und gleichzeitig den Winsock instandsetzen, somit kommt es nicht mehr zu einem defekten LSP.

    O27 Image File Execution Options

    ZĂ€hlt die EintrĂ€ge unter  HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options auf

    ErklÀrung hier.

    O28 Shell Execute Hooks

    HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

    Diese werden geladen wenn ein Programm startet (durch den Windows Explorer oder bei Aufruf der ShellExecute(Ex) Funktion). Dieses startup DLL modul wird ĂŒber das AusfĂŒhren des Programms informiert und kann jede beliebige Handlung ausfĂŒhren bevor das Programm selbst ausgefĂŒhrt wird.

    O29 Security Providers

    Nennt alle EintrÀge unter HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders

    Quote
    O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 | -H-D | M]
    O29 - HKLM SecurityProviders - (digiwet.dll) - File not found


    Dies sind Beispiele von schlechten. Mit Vorsicht behandeln, denn hier werden auch legitime angezeigt.

    O30 Lsa

    Listet EintrÀge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

    Quote
    O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\opnnLbaA.dll) - C:\WINDOWS\System32\opnnLbaA.dll File not found



    Das ist ein Beispiel eines schlechten Eintrages.

    Hinweis: LSA 32bit / 64bit EintrÀge:

    O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

    FĂŒr EintrĂ€ge die im HKLM\System Bereich der Registry abgelegt sind gibt es nur einen Wert, der aber von 32Bit und 64Bit Anwendungen unterschiedlich interpretiert wird.

    Im vorrausgehenden Beispiel kan man sehen, dass eine 64bit Anwendung im sysnative Ordner (dem 64bit system32 Ordner) nach Dateien suchen wird, wĂ€hrend 32bit Anwendungen im Ordner syswow64 (dem 32bit system32 ordner) suchen werden. Wenn man einen dieser EintrĂ€ge entfernt hat das sowohl Auswirkungen fĂŒr die 32bit wie auch fĂŒr die 64bit Handlungen. Entfernt man eine der beiden Linien, so löscht dass den Registryeintrag fĂŒr beide, entfernt jedoch nur die in der Zeile benannte Datei. Wenn beide Dateien entfernt werden sollen, dann mĂŒssen auch beide Linien entfernt werden. Es ist daher wichtig das Log von OTL richtig zu verstehen, um zu wissen ob ein bestimmter Registryeintrag sowohl von 32bit als auch von 64bit Anwendungen benutzt wird. Es kann zum Beispiel passieren, dass ein Registryeintrag eine legitime 64bit Datei und eine schĂ€dliche 32bit Datei startet. In solch einem Fall darf der Registryeintrag nicht gelöscht werden, weil sonst die legitime 64bit Datei nicht mehr ausgefĂŒhrt wird, was zu einem instabilen System fĂŒhren könnte.

    Schauen wir uns folgendes Beispiel genauer an:

    O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
    O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
    O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

    Hier kann man sehen, dass die 32bit version der msv1_0.dll manipuliert wurde. Es sollte eine Microsoft Datei sein, wurde aber durch eine unbekannte Datei ersetzt. In einem derartigen Fall sollte nur die Datei C:\windows\syswow64\msv1_0.dll entfernt werden, aber NICHT der dazugehörige Registryeintrag, da dieser noch die 64bit Version startet. Es sollte außerdem ein Ersatz fĂŒr die verĂ€nderte 32bit msv1_0.dll gefunden werden, da diese fĂŒr installierte 32bit Programme notwendig sein kann.


    O31 SafeBoot

    ZĂ€hlt die SchlĂŒssel und Werte von folgendem UnterschlĂŒssel auf: HKEY_LOCAL_MACHINE\system\currentcontrolset\SafeBoot

    O32 Autorun files on drives

    Das Aufrufen eines externen Laufwerkes ĂŒber Explorer oder "Mein Computer" fĂŒhrt dazu, dass eine evtl vorhandene autorun.inf Datei ausgefĂŒhrt wird.

    AbhĂ€ngig von den Autorun/Autoplay Einstellungen wird der User dazu verleitet eine schlechte Datei beim Aupoppen des Auturun-Fensters auszufĂŒhren. Beim Klicken auf ein Icon aus dem  "mit diesem Programm ausfĂŒhren"... Dialog kann eine nicht legitime Datei, die der autorun.inf Datei dieses Laufwerkes hinzugefĂŒgt wurde, ausgefĂŒhrt werden.

    Manche Malware bildet autorun.inf Dateien auf jedem logischen Laufwerk.

    O33 MountPoints2

    Listet EintrÀge unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

    O34 BootExecute

    Listet EintrÀge unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

    O35 shell spawning values

    Nennt die  shell spawning values fĂŒr .com und .exe (keine anderen Dateierweiterungen) in der Registry.

    Sie können, wie jede andere Zeile aus dem Standard Registry Scan einfach korrigiert werden, indem man sie in ein :OTL Skript kopiert. Dies gilt nicht fĂŒr die shell spawning values aus dem Extra.log

    Bei Win Police Pro Befall sieht man einen Dateinamen anstatt des normalen "%1" %*. Ist das der Fall sollten die Zeilen in den :OTL Abschnitt kopiert werden.

    O36 appcert dlls

    Listet EintrÀge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls key

    O37 file associations (fĂŒr comfile und exefile shell spawning values)

    Listet die file associations fĂŒr die shell spawning values von .com and .exe Registry Einstellungen.

    Shell spawning und file associations sind eng miteinander verbunden. Die O35 EintrÀge zeigen die shell spawning values (comfile und exefile) und die O37 EintrÀge zeigen die file associations (.com und .exe).

    Man sieht diese EintrÀge wenn man die Extra Registrierung beim Erstellen des Logfiles mit einbezieht. Wenn sie dann nicht vorhanden sind könnten sie versteckt sein. Die 037 Zeilen bieten die Option diese EintrÀge zu sehen, wenn keine Extra Registrierung angeklick wurde.

    Der file association Wert ist ein einzelner Standardwert der auf die shell spawning Werte verweist. Es ist der shell spawning Wert wo weitere ausfĂŒhrbare Dateien angehĂ€ngt werden können. Als Beispiel zeigt die file association fĂŒr exe Dateien auf exefile,  aber Malware kann auf einen Spawning Wert verweisen, der eine schlechte Datei lĂ€dt. Die Datei wird in einem File Scan angezeigt. Aber das Beseitigen dieser Datei, ohne die Registrierung zu reparieren endet damit, dass keine Exe Dateien mehr ausgefĂŒhrt werden können.

    Wenn hier EintrĂ€ge mit OTL adressiert werden wird OTL jede HKLM .com oder .exe file association zurĂŒck auf den Standardwert setzen, löscht aber jegliche vom User verĂ€nderte Einstellungen. Es wird auch immer die  HKLM shell spawning Einstellung auf Standard zurĂŒckgesetzt.

    Note: Wenn sich der spawning key im Registrierungsbereich des Users befindet wird dieser immer entfernt, die Datei muss aber separat adressiert werden. Die Datei sollte im FileScan zu sehen sein und kann dort adressiert werden. Wenn der spawning key mit Reg Error: Key error angezigt wird, und es sich dabei um Malware handelt, dann sollte dieser ebenso im :Reg Bereich adressiert werden, nur um sicher zu gehen.

    Beispiel zu Entfernen aus dem HKLM Hive

    :reg
    [-hkey_local_machine\software\classes\"badfile"]

    und dazu noch die Datei aus dem FileScan adressieren, zb mit :files

    Beispiele von vordefinierten Custom Scan Befehlen

    NetSvcs

    ZÀhlt die EintrÀge in folgendem Wert auf: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs

    Hinweis: Microsoft legt eine Standardliste von Diensten in diesem Wert ab wÀhrend der Installation, nicht alle diese Dienste sind auch zwangslÀufig auf dem Systen installiert. 'Service not found'/'File not found' EintrÀge sind nichts Ungewöhnliches.
     
    Achtet besonders auf die Signaturen der in diesem Teil aufgezÀhlten Dateien:

    Quote
    NetSvcs: BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology)
    NetSvcs: 6to4 - C:\WINDOWS\System32\6to4v32.dll ()
    NetSvcs: Ias - Service key not found. File not found
    NetSvcs: Iprip - Service key not found. File not found
    NetSvcs: Irmon - Service key not found. File not found
    NetSvcs: NWCWorkstation - Service key not found. File not found
    NetSvcs: Nwsapagent - Service key not found. File not found
    NetSvcs: Wmi - Service key not found. File not found
    NetSvcs: WmdmPmSp - Service key not found. File not found
    NetSvcs: helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation)



    Im vorangehenden Beispiel sehen wir:

    helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation) Dieser Eintrag ist legitim.
    BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology) Dieser Eintrag ist nicht legitim. Vorsicht - auch wenn dieser Eintag schĂ€dlich ist, sind nicht alle nicht Microsoft EintrĂ€ge schĂ€dlich. ÜberprĂŒft immer ob die Dateien echt sind.
    6to4 - C:\WINDOWS\System32\6to4v32.dll () Dieser Eintrag ist nicht legitim.

    File Scans

    Es gibt eine Reihe von Einstellungen, die fĂŒr die Standardsuche nach erstellten/verĂ€nderten Dateien angepasst werden können. (Diese Einstellungen werden nicht auf Custom Scans angewandt):
    • File Age - Der Wert ist normalerweise auf 30 Tage eingestellt (14 Tage fĂŒr den Quickscan), die Dauer kann beliebig im Rahmen von 1-90 Tagen variiert werden, wenn man das unter File Age in Files Created Within oder Files Modified Within so einstellt.
    Wenn man die Einstellung All wĂ€hlt, wird das angegebene Alter ignoriert und alle Dateien werden aufgefĂŒhrt (Die Einstellung also mit Vorsicht benutzen).
  • Use Company Name WhiteList - Diese Einstellung ist fĂŒr den Standardscan deaktiviert und fĂŒr den Quickscan aktiviert.
Die Company Name WhiteList enthÀlt etwa 150 Firmennamen. Dateien dieser Firmen werden ausgeblendet, wenn die Whitelist benutzt wird.
  • Skip Microsoft Files - StandardmĂ€ĂŸig deaktiviert, aktiviert fĂŒr den Quickscan.  Wenn diese Einstellung angewĂ€hlt wird, werden alle Dateien, die Microsoft im Firmennamen haben, ausgeblendet.
  • Files Created Within/Files Modified Within - Die ĂŒblichen Suchen nach erstellten/verĂ€nderten Dateien. Sie werden deaktiviert wenn man die None Einstellung auswĂ€hlt. Das maximale Alter der angezeigten Dateien wird durch das oben genannte File Age bestimmt.
  • LOP Check - Im Standardscan deaktiviert, beim Quickscan aktiviert. Durchsucht den Anwendungsdaten-Ordner des Benutzers und zeigt alle Ordner, die nicht auf der LOP Whitelist (etwa 160 Ordner, die als sicher einzustufen sind) stehen und alle Dateien im Windows Tasks-Ordner an.   
  • Purity Check -Im Standardscan deaktiviert, beim Quickscan aktiviert. Diese Option sucht nach allen bekannten Purity Ordnern und Dateien und zĂ€hlt diese wenn vorhanden auf.
Ihr könnt den Benutzer anweisen jede dieser Optionen nach Bedarf zu setzen, um die fĂŒr den jeweiligen Fall benötigten Logs zu erhalten.

Im Log

========== Files/Folders - Created within 30 Days ==========

Zeigt Dateien und Ordner an, die innerhalb der angegebenen Periode erstellt wurden.

Standardwert ist hier 30 Tage, kann aber auf bis zu 360 Tage erhöht werden.

========== Files - Modified within 30 Days ==========

Zeigt Dateien und Ordner an, die innerhalb der angegebenen Periode verÀndert wurden. Hier kann man ebenfalls eine Dauer von 1-360 Tage auswÀhlen.

Hinweis: OTL zeigt die Firmennamen einer Datei an. Nur weil  eine Datei behauptet sie sei von Microsoft, muss sie nicht unbedingt legitim sein. Malware kann Firmennamen von allen möglichen Firmen ĂŒbernehmen nud imitieren.

Hinweis 2: In einigen Logs werden Dateien auftauchen mit folgendem Hinweis: "File handle not seen by OS". Das passiert wenn das Betriebssystem kein Datei-Handle zur Datei zur VerfĂŒgung stellen kann, ĂŒber das Handle werden Informationen wie Firmenname der Datei und die Attribute ausgelesen. Das bedeutet, dass die Datei zwar existiert, jedoch der Zugriff auf die Datei verhindert wird. Derartiges Verhalten kann auf Rootkits hinweisen und sollte zu weiteren Scans animieren.

Hinweis 3: Die files created/modified Scans fĂŒhren außerdem ALLE Dateien in Anwendungsdaten, Programme und Programme\Gemeinsame Dateien unabhĂ€ngig vom Alter auf. In diesen Ordnern sollten sich normalerweise keine Dateien befinden. Viele SchĂ€dlinge Ă€ndern ihr Erstellungsdatum, um Anlaysetools zu entgehen, die nur nach dem Alter schauen. Diese zusĂ€tzliche Liste sollte derartige Dateien in den angegebenen Ordnern finden können.

========== Files - No Company Name ==========

ZĂ€hlt .exe, .dll, .ini, etc Dateien jeden Alters ohne Firmennamen auf.

========== LOP Check ==========

Der Lop Check zÀhlt alle Ordner unter Anwendungsdaten, sowie alle Dateien in C:\WINDOWS\Tasks auf.

Ein O4 Eintrag mit zufÀlligen und sinnlosen Ordner- und Dateinamen in Anwendungsdaten ist wahrscheinlich LOP (Swizzor)

Der bereits erwÀhnte LOP-Filter filtert auch hier bekannte gute Ordner aus.

========== Purity Check ==========

Purity Check ist ein einfacher Scan nach Purity/Outerinfo. Wenn nichts gefunden wird erzeugt es kein Log. Purity ist eine gut erforschte Infektion, die nur bestimmte Namen fĂŒr ihre Ordner nutzt und diese auch nur in wenigen Ordner ablegt. OTL ĂŒberprĂŒft all diese Ordner und zeigt nur die Ordner mit den Puritynamen an, falls es etwas findet.

========== Alternate Data Streams ==========

Alternate Data Streams werden hier erklÀrt (englisch).

Alle Dateien und Ordner, die wĂ€hrend des Scans (sowohl Standard als auch Custom) einen Alternate Data Stream enthalten, werden hier aufgezĂ€hlt. ADSs wie ZONE.IDENTIFIER, FAVICON und ENCRYPTABLE werden nicht aufgefĂŒhrt.

Um einen ADS zu löschen, kann man einfach die Zeile in einem Fix unter :OTL einfĂŒgen.

========== Files - Unicode (All) ==========

Ein Beispiel könnte wie folgt aussehen:

[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\N?mesList.txt

Jede Datei und jeder Ordner, die wĂ€hrend des Scans (sowohl Standard als auch Custom) Unicodesymbole enthalten werden hier aufgefĂŒhrt.
Um sie zu löschen, kann man auch sie einfach in den :OTL Abschnitt des Fixes kopieren.

Extra Logfile

========== Extra Registry ==========

========== File Associations ==========

Zeigt an welcher Dateityp mit welcher Dateierweiterung assoziert wird, sowie welche Anwendung genutzt wird um die Dateien zu öffnen (z.b. .txt Dateien oder .reg Dateien)

========== Shell Spawning ==========

ZĂ€hlt die Shell Spawning Werte fĂŒr ALLE Dateierweiterungen auf.

Hier ein Beispiel von einem sauberen System:

Quote
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)



Hier ein Beispiel mit Win Police Pro

Quote
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "C:\WINDOWS\System32\desote.exe" %* ()
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)



Der erste Eintrag ist der SchlĂŒssel (zb exefile), der zweite Eintrag ist der Befehl (zb open).
Wenn ein derartiger Eintrag aufgefĂŒhrt wird, muss er von Hand bereinigt werden. FĂŒr befallene comfile oder exefile Einstellungen kann man den Eintrag automatisch mit :OTL fixen lassen indem man die O35 EintrĂ€ge aus dem OTL.log benutzt.

In einem Fix sollte man immer einen :reg Abschnitt einfĂŒgen um derartige shell spawning EintrĂ€ge zu fixen.
Dieser könnte wie folgt aussehen:

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

Werden die EintrĂ€ge nicht gelöscht so kann es sein, dass der Benutzer danach unfĂ€hig ist die entsprechenden Dateien auszufĂŒhren, auch wenn er weiterhin nach Windows booten kann.

Hinweis: Der :reg Fix wird fĂŒr .com und .exe Dateien nur dann benötigt, wenn die O35 EintrĂ€ge aus dem OTL.log nicht mit Hilfe von :OTL gelöscht werden.

Beispiel eines falschen Fixes:

[/list]
Code: [Select]
:OTL
PRC - C:\WINDOWS\svchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro
:commands
[Reboot]

Beispiel eines korrekten Fixes:

Code: [Select]
:OTL
PRC - C:\WINDOWS\svchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[Reboot]

========== Security Center Settings ==========

========== Authorized Applications List ==========

========== HKEY_LOCAL_MACHINE Unistall List ==========

< End of report >

schrauberTopic starter

  • Visiting Staff
  • *
  • Offline Offline
  • location: Germany
  • Posts: 137
  • .: Translator: German OTL Tutorial
Referenz der verfĂŒgbaren Befehle/Anweisungen fĂŒr Bereinigungen mit OTL

Die Befehle/Anweisungen achten nicht auf Groß- und Kleinschreibung.

:processes

Es können entweder einzelne oder alle Prozesse gestoppt werden mit diesem Befehl.

Wenn die [EMPTYTEMP]-Anweisung nicht benutzt wird, man aber dennoch alle Prozesse stoppen will, dann kann man die Anweisung killallprocesses unter :Processes
einfĂŒgen. Alternativ kann man explorer.exe einfĂŒgen. Beides wird alle Prozesse abwĂŒrgen und am Ende einen Neustart erzwingen.

Beispiele fĂŒr einzelne Prozesse die man wĂ€hrend eines Fixes deaktivieren will sind TeaTimer, SpywareGuard oder andere Anti-Malware Programme sowie, natĂŒrlich, Malwareprozesse.

:OTL

Alle Zeilen aus dem Standard Scan, sowie alle Zeilen aus Custom Scans von Dateien/Ordnern können hier eingefĂŒgt werden um gefixt zu werden.
:OTL entfernt normalerweise den Eintrag und die dazugehörige Datei gleichzeitig, einzige Ausnahme sind Prozesse: Sie werden nur beendet und die dazugehörige Datei wird nicht gelöscht. Die Datei muss dann separat unter :Files gelöscht werden.

Einzelne Zeilen aus der HOSTS Datei (O1 EintrÀge) können nur im :OTL Abschnitt bereinigt werden.
Wenn man die Hostsdatei zurĂŒcksetzen will (nur die Zeilen 127.0.0.1 localhost und ::1 localhost) kann man die Anweisung [resethosts] unter dem Befehl :commands nutzen.

Bei den IE EintrÀgen werden nur die Daten aus dem Registrywert entfernt, der Wert selbst wird nicht gelöscht.

:Services

OTL versucht die aufgefĂŒhrten Dienste zu stoppen und zu deaktivieren bevor es sie löscht. Es kann allerdings sein dass OTL unfĂ€hig ist dies zu tun, wenn sich die Malware zu gut schĂŒtzt. In solchen FĂ€llen muss der Dienst entweder im abgesicherten Modus oder ĂŒber andere Wege deaktiviert werden.

Zu löschende Treiber können ebenfalls in diesem Abschnitt aufgefĂŒhrt werden. Achtet darauf, dass der Name des Treiber oder Dienstes genutzt wird und nicht die Beschreibung.

:Reg

In diesem Abschnitt können jegliche Registryfixes durchgefĂŒhrt werden. Ein Vorteil von OTL ist, dass man sich nicht mit hex-EintrĂ€gen abgeben muss. Man kann mit OTL auch hex-EintrĂ€ge als reinen Text fixen.

Siehe folgendes Beispiel:

Bösartiger Eintrag:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0 C:\WINDOWS\system32\byXoMcbC

Um diesen Eintrag mit einer .reg-Datei zu löschen, mĂŒsste man wie folgt vorgehen:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00

Falls man unsicher sein sollte ob der hex-Wert korrekt ist und nicht das Risiko eingehen möchte etwas kaputt zu machen, kann man mit OTL einfach Folgendes tun:

Fix:

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):"msv1_0"

OTL wird den Text in hex umwandeln und in die Registry einpflegen um den Eintrag zu reparieren.

:Files

Alle Dateien und Ordner, die man zusÀtzlich löschen möchte, kommen in diesen Abschnitt.
Bitte nicht die Zeilen aus dem OTL.log hier rein kopieren (Diese gehören in den :OTL Abschnitt)
Dieser Befehl ist nur fĂŒr zusĂ€tzliche Dateien und Ordner, die verschoben werden mĂŒssen gedacht. (Zb Dateien von laufenden Prozessen oder EintrĂ€ge aus anderen Logs, die man entfernen möchte)

Hinweis: OTL unterscheidet nicht zwischen Dateien und Ordnern. Ordner können einfach unter :Files eingefĂŒgt werden um gelöscht zu werden.

:Commands

Die folgenden Anweisungen mĂŒssen im :Commands Abschnitt aufgefĂŒhrt werden, um ausgefĂŒhrt zu werden.

[PURITY] - Löscht automatisch jegliche PuritybefĂ€lle auf dem System. Purity nutzt fest definierte Ordner, deren Namen Unicodesymbole enthalten. Die Anweisung löscht all diese Ordner, ohne dass man sie einzeln auffĂŒhren muss.

[EMPTYTEMP] - leert alle temporĂ€ren Ordner fĂŒr den Benutzer, das System und die Browser.
NB: Wenn diese Anweisung im Fix aufgefĂŒhrt wird, werden automatisch alle Prozesse zu Beginn des Fixes beendet und ein Neustart wird zum Ende der Bereinigung notwendig sein. Man brauch also nicht explorer.exe unter :PROCESSES aufzufĂŒhren oder die Anweisungen [startexplorer] oder [reboot] unter:COMMANDS zu benutzen, wenn [emptytemp] benutzt wird.

[EMPTYFLASH] - entfernt alle Flash Cookies.
Hinweis: Nicht alle Flash Cookies sind schlecht. Manche enthalten nur diverse Einstellungen fĂŒr Webseiten. Mit diesem Befehl werden alle gelöscht, egal was sie anthalten.

[REBOOT] - Erzwingt einen Neustart nach der Beendigung des Fixes.
NB: Diese Anweisung ist ĂŒberflĂŒssig wenn KILLALLPROCESSES oder Explorer.exe unter :PROCESSES aufgefĂŒhrt wird, oder wenn die Anweisung [EMPTYTEMP] unter :COMMANDS aufgefĂŒhrt wird, da diese sowieso einen Neustart erzwingen. Man kann es zwar hinzufĂŒgen, die Anweisung wird jedoch ignoriert.

[RESETHOSTS] - Setzt die HOSTS-Datei zurĂŒck auf die folgenden Standardwerte:
127.0.0.1 localhost
::1 localhost

Die gelöschte HOSTS-Datei wird als Backup in den entsprechenden Ordner von MovedFiles kopiert.

[CREATERESTOREPOINT] - Erstellt einen Systemwiederherstellungspunkt nachdem der Fix durchgelaufen ist.

[CLEARALLRESTOREPOINTS] -  Löscht nach dem Abarbeiten des Fixes alle vorhandenen Systemwiederherstellungspunkte und erstellt danach einen neuen.

Wenn eine der beiden vorrangehenden Anweisungen benutzt wird, kontrolliert OTL ob die fĂŒr das Setzen eines SWH-Punktes notwendigen Dienste laufen und wird versuchen diese zu starten, falls sie nicht laufen.
Sollten die notwendigen Dienste nicht laufen und können sie auch nicht gestartet werden, so wird das im Log vermerkt mit einer BegrĂŒndung wieso der Dienst nicht gestartet werden konnte.

Hinweis: Die beiden vorrangehenden Anweisungen können auch wÀhrend eines Scans benutzt werden. Dabei muss man aber beachten, dass die Befehle dort ohne Klammern genutzt werden. Sprich die Befehle sehen wie folgt aus:

clearallrestorepoints oder createrestorepoint

Die [] Klammern fehlen.

Man kann CREATERESTOREPOINT oder CLEARALLRESTOREPOINTS in den Custom Scans zusammen mit jedem anderen custom scan (z.b. SAFEBOOTMINIMAL oder NETSVCS) ausfĂŒhren. Die Anweisungen beachten Groß- und Kleinschreibung nicht
Eine Zeile im Log wird zeigen ob das Setzen des SWH-Punkts erfolgreich war oder warum es erfolglos war.


Schalter


Schalter sind optionale Erweiterungen, die bei eine Scan oder Fix benutzt werden können, um eine entsprechende Ausgabe zu erhalten.

Hinweis: Wenn ein ungĂŒltiger Schalter benutzt wird wird einfach eine Zeile (Invalid Switch:...) im Logfile angezeigt und der Scan geht weiter. Wenn der Schalter als ungĂŒltig angezeigt wird aber gĂŒltig ist, ĂŒberprĂŒft bitte die Versionsnummer von OTL.

Schalter fĂŒr den Custom Scan:

/C - Um Befehle in der Kommandozeile auszufĂŒhren
Beispiel:
set /c - Gibt alle Umgebungsvariablen aus
net stop <servicename> /c - OTL stoppt und startet keine Dienste, sondern löscht diese nur. Mit diesem Schalter und dem Kommandozeilenbefehl net kann man dennoch Dienste anhalten, pausieren oder starten.
netstat -r /c - Zeigt die routing table an.

Jeder Befehl der in der Windows Kommandozeile funktioniert kann auch mit Hilfe des /C Schalters in OTL  benutzt werden und die Ausgabe des jeweiligen Befehls wird in das OTL log eingefĂŒgt. Dadurch kann man sich das Erstellen von Batchfiles ersparen.

/FP - Sucht nach Dateien und Ordnern die den angegebenen Bedingungen entsprechen
Beispiel:
c:\windows|myfile;true;true;true /FP

Parameter:
      myfile ist der gesuchte Begriff ( die Suche wĂŒrde zum Beispiele folgende Dateien als Treffer anzeigen: c:\windows\myfile.exe, c:\windows\123myfile456.dat, c:\windows\notmyfileeither)
      Steige rekursiv in Unterordner ab ( Damit zeigt die Suche auch folgende Dateien als Treffer an wenn man true wĂ€hlt: c:\windows\system32\helpmyfile.dll, c:\windows\msagent\intl\closetomyfile.ocx)
      FĂŒhre Unterordner auf (Wenn der Parameter auf true gesetzt wird und ein Ordnername den gesuchten Begriff enthĂ€lt, dann werden die im Ordner enthalten Ordner ebenfalls aufgezĂ€hlt.)
      FĂŒhre Dateien auf (Wenn true gewĂ€hlt wird, dann werden Dateien, deren Namen zum gesuchten Begriff passen aufgefĂŒhrt. Wird false gewĂ€hlt, so werden nur Ordner aufgefĂŒhrt.)

Der /FP Schalter wird intern fĂŒr einige Suchen fĂŒr den Standard Scan benutzt und wird von den meisten Helfern wahrscheinlich nicht benötigt werden. Man kann damit allerdings ein paar wirklich coole Sachen machen, sodass ich beschlossen habe, den Schalter fĂŒr alle verfĂŒgbar zu machen. Es ermöglicht zum Beispiel gleichzeitig nach Ordnern und Dateien zu suchen, wenn man fĂŒr beide nach demselben Begriff sucht.

/MD5 - Um die MD5 von Dateien zu erhalten
Anwendungen dieses Schalters sieht man zum Beispiel viel im Malware Cleaning Guide um gepatchte Dateien zu identifizieren. MD5 is ein eindeutiger mathematischer Wert der von einer Datei berechnet werden kann um festzustellen ob diese verÀndert wurde oder nicht. Sobald ein Byte der Datei verÀndert wird, Àndert sich auch die MD5. Einige Beispiele vom Guide sind:
    %SYSTEMDRIVE%\iaStor.sys /s /md5
    %SYSTEMDRIVE%\nvstor.sys /s /md5
    %SYSTEMDRIVE%\atapi.sys /s /md5
    %SYSTEMDRIVE%\IdeChnDr.sys /s /md5
MD5 werden nicht in der Datei selbst gespeichert, sondern werden jedes Mal neu berechnet. Die angefĂŒhrten Scans durchsuchen die Windowspartition nach Kopien der genannten Datei und lassen sich die gefundenen Dateien mitsamt ihrer MD5 ausgeben.
Wenn die MD5 der von Windows benutzten Datei (normalerweise in system32 oder system32\drivers) sich von der MD5 der Dateien in den Backupordnern (zb dllcache oder i386) unterscheidet, wurde sie wahrscheinlich gepatcht.
Wenn die MD5 leer bleibt, dann wurde sie sehr wahrscheinlich gepatcht und die Datei sollte durch eine legitime Kopie aus einem der Backupordner mithilfe von Programmen wie The Avenger ersetzt werden.

/MD5START und /MD5STOP - zum Umschliessen mehrerer Dateien die geprĂŒft werden sollen.

Beispiel:
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop

Dies erlaubt Dir mehrere Dateien gleichzeitig zu scannen ohne immer den kompletten Pfad angeben zu mĂŒssen. Wenn das Tool diesen Schalter sieht wird es beim Root-Laufwerk anfangen und das komplette Laufwerk scannen. Es trĂ€gt alle Dateien zusammen mit diesem Namen, die sich auf dem kompletten Laufwerk befinden.

Wenn es eine grĂ¶ĂŸere Anzahl an Dateien zum PrĂŒfen gibt ist es sinnvoll, diese mit /md5start und /md5stop zu umschliessen, da dieser Weg effektiver ist und ein saubereres Logfile liefert. Wenn Du nur ein oder zwei Dateien prĂŒfen willst ist /md5 ausreichend.

Hinweis: Wann immer der /md5start und /md5stop Block benutzt wird schaut OTL auch nach Servicepack .cab Dateien. Wenn solche gefunden werden schaut es in den Dateien nach, ob die Gesuchte enhalten ist. Wird eine gefunden wird sie in der Ausgabe gelistet. Dies is nicht der Fall wenn nur mit /md5 gesucht wird.

/LOCKEDFILES - um gesperrte Dateien zu finden wo die MD5 nicht berrechnet werden kann.

Dieser Scan scannt einfach alle Dateien, die wo es keine MD5 berrechnen kann werden in der Ausgabe gelistet.

Hinweis: Du musst eine genaue Pfadbezeichnung liefern, wie bei jedem anderen Filescan, und den /S Schalter benutzen wenn Du auch die Unterordner durchsuchen willst. Wenn Du sehen willst welche .dll Dateien im System32-Ordner gesperrt sind, machst Du das so:

%systemroot%\system32\*.dll /lockedfiles


Wenn aus irgend einem Grund alle Dateien gescannt werden mĂŒssen (Windows hat von sich aus ein paar gesperrte Dateien,  und wenn es keinen guten Grund gibt ist es auch nicht nötig alle zu sehen) muss der /all Schalter verwendet werden:

%systemroot%\system32\*.dll /lockedfiles /all

/RS - durchsucht die Registry nach einem bestimmten Begriff
Beispiel:
hklm\software\microsoft\windows\currentversion|somepattern /RS

Der /rs Schalter wird alle SchlĂŒssel, Wertnamen und enthaltene Daten durchsuchen und die auf den Begriff passenden EintrĂ€ge in das Log schreiben. Wenn kein zu durchsuchender SchlĂŒssel angegeben wird (z.B. somepattern /rs), sucht OTL in folgenden SchlĂŒsseln (und unterschlĂŒsseln):
hklm\software\classes
hklm\software\microsoft
hklm\software\policies
hklm\system\currentcontrolset
hkcu\software\classes
hkcu\software\microsoft
hkcu\software\policies

Es ist jedoch besser einen SchlĂŒssel zum Durchsuchen anzugeben.

/RP - um nach allen Reparse-Punkten zu suchen

Beispiel: c:\windows\*.* /RP or c:\windows\*. /RP

oder

Beispiel: c:\windows\*. /RP /s

Das Benutzen dieses Schalters wird alle Reparse Punkte zeigen (wie die die von der aktuellen maxx++ Infektion benutzt werden) und die Ergebnisse können einfach in den :OTL Bereich des Fixes eingetragen werden, um sie zu entfernen. Mit /s werden auch die Unterordner durchsucht.

/HL - um nur nach HardLinks zu suchen

Beispiel: c:\windows\*.* /HL or c:\windows\*. /HL

/JN - Um nach Knotenpunkten zu suchen

Beispiel: c:\windows\*.* /JN or c:\windows\*. /JN

/MP - um nur nach Mountpoints zu suchen

Beispiel: c:\windows\*.* /MP or c:\windows\*. /MP

Zum Zeitpunkt des Erstellens dieser Anleitung ein sehr nĂŒtzlicher Befehl um in den Custom Scan einzutragen:

%systemroot%\*. /mp /s

Dies wird alle maxx++ Mountpoints beim ersten (oder folgenden) Scan finden und Du kannst sie mit dem ersten Fix entfernen.

/SL - um nur nach symbolischen Verbindungen zu suchen

Beispiel: c:\windows\*.* /SL or c:\windows\*. /SL

/SP - um eine String-Pattern Suche innerhalb von Dateien durchzufĂŒhren

Beispiel: c:\windows\*.*|somepattern /SP

Zu den Zeiten von WinPFind wurde dies oft benutzt, um Malware-Siganturen in Dateien zu finden. Heute wird es weniger benutzt, ist aber immernoch verfĂŒgbar.

/S - Um auf Unterordner in einem FileScan oder um auf UnterschlĂŒssel in einer Registry Suche zurĂŒckzugreifen
 
Beispiel:
c:\windows\*.dat /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI /S

Dieser Switch wird oft in Zusammenhang mit /MD5 oder /U benutzt, um hier ebenso auf die Unterordner zuzugreifen.

/U - um nur Unicode Dateien in die Suche einzubeziehen
Beispiel:
c:\windows\*.* /U

Ordner und Dateien mit Unicodesymbolen im Namen sehen im Explorer oft wie legitime EintrĂ€ge aus. WĂ€hrend eines normalen Scans wird OTL automatisch alle Namen die Unicodesymbole enthalten in den Unicode-Abschnitt des Logs einfĂŒgen. Diese können dann einfach mithilfe von :OTL gelöscht werden. In vielen Scannern werden Unicodesymbole nicht korrekt interpretiert und als ? dargestellt, was ein Löschen der EintrĂ€ge schwer macht. OTL erleichtert diese Arbeit. Ein Custom Scan mit dem Schalter /u wird nur die Dateien und Ordner ausgeben, die auch Unicode im Namen enthalten.

Ein Beispiel einer derartigen Ausgabe wÀre:
< c:\*.* /U >
 
========== Files - Unicode (All) ==========
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\NamesList.txt

/X - ZÀhlt EintrÀge auf, die nicht auf das Muster passen.
Beispiel:
c:\windows\*.exe /X

Die Zeile zÀhlt alle Dateien auf, die nicht .exe enthalten.

/64 - Sucht speziell in den 64bit Ordnern und RegistryschlĂŒsseln auf 64bit Systemen.
Beispiel:
c:\windows\system32\*.dat /64
hklm\software\microsoft\windows\currentversion\run /64

Da OTL eine 32-bit Anwendung ist, wird, wenn der /64 Schalter nicht benutzt wird, automatisch in den 32bit Bereichen des 64bit Systems gescannt. Der Schalter wird die Suche in den 64bit Bereichen erzwingen, wenn von Nöten.

/<beliebige Zahl> - Zeigt nur die Dateien an, die vor weniger als der angegebenen Zahl von Tagen erstellt wurde.
Beispiel:
c:\windows\system32\*.* /3

Der gezeigte Custom Scan zeigt die erstellten Dateien der letzten 3 Tage an.

Commands/Switches
Anweisungen/Schalter, die man im :Files Abschnitt nutzen kann

[override] und [stopoverride] - Setzt die interne Liste der nicht-verschiebbaren Dateien außer Kraft
Beispiel:
:FILES
[override]
c:\windows\system32\userinit.exe
[stopoverride]

OTL besitzt eine Liste von etwa 100 Dateien und Ordnern, die standardmĂ€ĂŸig nicht verschoben werden dĂŒrfen. Damit soll verhindert werden, dass aus Versehen wichtige Systemdateien und -Ordner entfernt werden, was ein System potentiell nicht mehr hochfahren lassen könnte. Dieser Schutz lĂ€sst sich umgehen, man sollte damit aber sehr vorsichtig umgehen. Die [stopoverride] Anweisung sollte immer sobald wie möglich nach [override] benutzt werden um fatale Fehler zu vermeiden.

/<beliebige Zahl> - Genau wie im Custom Scan werden nur die Dateien und Ordner gelöscht, die in dem Zeitraum erstellt wurden.

Beispiel:
:FILES
c:\windows\system32\*.dll /2

Dies wird alle .dll Dateien im System32 Ordner verschieben, die in den letzten 2 Tagen erstellt wurden. Das kann sehr nĂŒtzlich, aber auch sehr gefĂ€hrlich sein. Vorsicht bei Verwendung dieses Schalters.

/64 - um die 64Bit spezefischen Ordner anstelle der standardmĂ€ĂŸigen 32Bit Ordner zu benutzen. Wenn die Datei dort gefunden wird wird sie verschoben.

Beispiel:
:FILES
c:\windows\system32\badfile.exe /64

Dies wird OTL dazu veranlassen, im 64Bit System32 Ordner anstelle des 32Bit System32 Ordners zu arbeiten.

@ - um Alternate Data Streams zu löschen.
Beispiel:
:FILES
@c:\windows\system32:somedatastream

Normalerweise braucht man diesen Schalter nicht da die Alternate Data Streams bei einem OTL Scan gelistet werden und einfach in den :OTL Bereich des Fixes kopiert werden können. Wenn ein Scan mit einem anderen Programm gemacht wurde können diese mit diesem Schalter im :Files Bereich entfernt werden.

/C - Um Befehle in der Kommandozeile auszufĂŒhren

Es ist unwahrscheinlich, dass dieser Schalter hĂ€ufig verwendet wird. Andere Schalter/Befehle decken die meisten Dinge ab... zum Beispiel, um eine Datei zu kopieren wĂŒrdest Du gewöhnlich den /replace Schalter verwenden aber nicht einen DOS-Befehl. Dennoch kann es Gelegenheiten geben, wo es nĂŒtzlich sein könnte. Zum Beispiel könntest Du einen Dienst provisorisch stoppen (aber nicht löschen wollen - denn der:Services-Befehl tut dies).
Beispiel:
:files
net stop <service> /c
<tu hier etwas>
net start <service> /c

/D - Löscht die Datei anstatt sie in QuarantÀne zu verschieben.
Beispiel:
:FILES
%programfiles%\*.dll /D

Der Schalter löscht alle Dateien die dem Muster entsprechen anstatt sie zu verschieben. Ein Anwendungsbereich sind zum Beispiel .tmp Dateien. Mit Vorsicht zu genießen!

/E - um eine spezielle Datei aus einem CAB Archiv zu entpacken.
Beispiel:
:FILES
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E

Die Datei wird immer auf das Hauptlaufwerk entpackt ( meist C:\) . Von dort kannst Du die aktive Datei mit der entpackten durch den /replace Schalter ersetzen. Dies geschieht meist in zwei Schritten, da die zu ersetzende Datei meist aktiv ist. In diesem Fall wird das System neu gestartet und die Datei dann ersetzt.

Der komplette Ablauf des Entpackens und Ersetzens einer Datei könnte so aussehen:
Beispiel:
:files
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /e
C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace

Hinweis: Vergewissere Dich den Schritt des Entpackens immer zuerst zu setzen, sonst wird es nicht funktionieren.

/lsp - um eine Datei aus dem LSP Stack zu entfernen.
Beispiel:
:Files
helper32.dll /lsp
winhelper86.dll /lsp

FĂŒr jede Zeile wird OTL den kompletten Stack durchsuchen, evtl DateieintrĂ€ge löschen und wenn was gelöscht wurde, den kompletten Stack zurĂŒcksetzen.

/replace

<Originaldatei>|<Neue Datei> /replace

Beispiel:

:files
C:\WINDOWS\System32\drivers\atapi.sys|c:\atapi.sys /replace

Wenn die Datei nicht sofort ersetzt werden kann (sie könnte in Benutzung sein) wird ein Neustart des Systems nötig sein um den Schritt zu vollenden.

Die Originaldatei und die neue Datei mĂŒssen weder vom selben Typ sein noch den selben Namen haben.

Hinweis: Vorsicht denn dieser Schalter arbeitet anders als bekannte Schalter anderer Tools. Die Originaldatei kommt zuerst.

Hinweis 2: Wenn Du vorhast eine Datei eines CAB Archivs zu verschieben muss diese zuerst entpackt werden, siehe /E Schalter.

/S - DurchlÀuft rekursiv alle Unterordner und löscht darin alle Dateien auf die das Muster zutrifft.
Beispiel:
:FILES
c:\windows\*.dat /S

Diese Zeile löscht alle .dat Dateien im Windowsordner und in sÀmtlichen Unterordnern.

/U - Verschiebt nur Dateien und Ordner die Unicodesymbole im Namen enthalten.
Beispiel:
:FILES
c:\windows\?ystem32 /U
%commonprogramfiles%\s?stem /U
c:\windows\expl?rer.exe /U /S

Jeder dieser Schalter wird nur die Datei oder den Ordner verschieben, der das Unicodesymbol an der Stelle des Fragezeichens hat. Es wird die entsprechendene legitimen Dateien, mit denselben Namen nicht anrĂŒhren. Typischerweise sieht man derartige Ordner und Dateien mit Purity (den man auch einfach mithilfe der [purity] Anweisung unter :Commands entfernen kann), aber es können auch andere Dateien Unicodesymbole enthalten.

Alle Schalter können beliebig kombiniert werden um den benötigten Effekt zu erhalten.

CleanUp

Man sollte CleanUp von OTL benutzen, wenn man einen Rechner nach dem Bereinigen aufrÀumen will. CleanUp ist dem Herunterladen von OTC vorzuziehen. Letzteres sollte nur benutzt werden, wenn keine anderen Programme von OldTimer wÀhrend der Bereinigung genutzt wurden.

Es folgt eine Liste der Programme, die CleanUp entfernt.

!Killbox
*.run
_backupD
_OTL
_OTListIt
_OTM
_OTMoveIt
_OTS
_OTScanIt
404fix.exe
Avenger
avenger.exe
avenger.txt
avenger.zip
AWF.txt
BFU
bfu.zip
catchme
catchme.exe
ckscanner
cleanup.txt
ComboFix
ComboFix*.txt
combofix.exe
combo-fix.exe
Combo-Fix.sys
dds.com
dds.pif
dds.scr
Deckard
defogger
delete.bat
deljob
deljob.exe
dss.exe
dumphive.exe
erdnt\subs
exehelper
Extras.txt
fdsv.exe
FindAWF.exe
fixwareout
fixwareout.exe
fsbl*.log
fsbl.exe
gmer
gmer.dll
gmer.exe
gmer.ini
gmer.log
gmer.sys
gmer_uninstall.cmd
grep.exe
haxfix.exe
haxfix.txt
iedfix.exe
killbox.exe
logit.txt
Lop SD
lopR.txt
LopSD.exe
moveex.exe
nircmd.exe
NoLop.exe
NoLop.txt
NoLopOLD.txt
OTH.exe
OTL.exe
OTL.txt
OTListIt.txt
OTListIt2.exe
OTLPE
OTM.exe
OTMoveIt.exe
OTMoveIt2.exe
OTMoveIt3.exe
OTS.exe
OTS.txt
OTScanIt
OTScanIt.exe
OTScanIt2
OTScanIt2.exe
OTViewIt.exe
OTViewIt.txt
QooBox
rapport.txt
Rooter$
Rooter.exe
Rooter.txt
RSIT
RSIT.exe
Runscanner
Runscanner.exe
Runscanner.net
Runscanner.zip
Rustbfix
rustbfix.exe
SDFix
sdfix.exe
sed.exe
Silent Runners.vbs
SmitfraudFix
SmitfraudFix.exe
swreg.exe
Swsc.exe
Swxcacls.exe
SysInsite
systemlook
TDSSKiller
TDSSKiller.zip
TDSSKiller.exe
TDSSKiller*.txt
tmp.reg
vacfix.exe
vcclsid.exe
VFind.exe
VundoFix Backups
VundoFix.exe
vundofix.txt
vundofix.vft
win32delfkil.exe
windelf.txt
WinPfind
winpfind.exe
WinPFind35u
WinPFind35u.exe
WinPFind3u
WinPFind3u.exe
WS2Fix.exe
zip.exe

Dieses Tutorial wurde zuletzt am 2 Juni 2010 auf den neuesten Stand gebracht (NZ time/date)
br /
 

* Permissions
You can't post new topics.
You can't post replies.
You can't post attachments.
You can't modify your posts.
BBCode Enabled
Smilies Enabled
[img] Enabled
HTML Disabled


Except where otherwise stated, all content, graphics, banners and images included © 2006 - 2016 Smokey Servicesℱ -- All rights reserved
Design board graphics, banners and images by Meg&Millie - Emma aka Tinker

This site don't store profiling-, tracking-, third-party and/or any other non-essential cookie(s) on client computers and is fully compliant with the EU ePrivacy Directive
Smokey's don't use any Web Analytics/Analysis Service, and also don't use any browser fingerprinting techniques

    

  

Smokey's provide free fully qualified OTL (OldTimer ListIt) and FRST (Farbar Recovery Scan Tool) Log / Malware Analysis & Removal Help and System Health Checks
rifle
rifle
rifle
rifle