Welcome to Smokey's Security Forums.
Guests have only limited access to the board and it's features, please consider registering to gain full access!
Registration is free and it only takes a few moments to complete.

Smokey's Security Forums

Please login or register.

Login with username, password and session length
Advanced search  

News:

Popular uBlock Origin ad-blocker appears in Edge's walled extension garden

There aren’t a ton of extensions available for Windows 10's Edge browser yet as Microsoft's maintained tight control over the ecosystem, making it something of an event when a new big name add-on shows up.
Over the weekend, New Zealand-based developer Nik Rolls announced his port of uBlock Origin (Preview) was now available as a preview in the Windows Store.

Popular uBlock Origin ad-blocker appears in Edge's walled extension garden



Malware Log Analysis & Removal Help * OTL (OldTimer ListIt) Tutorials & Tools * Ransomware Encryption & Decrytion Techniques * Official Jetico Inc. Support Forums

Über © Urheberrecht OTL Anleitung - Wie man Oldtimer ListIt benutzt

Übersetzung Englische - Deutsche Sprache: myrti und schrauber
Urheberrecht Originale Anleitung © 2017 emeraldnzl
Urheberrecht Modifizierte Anleitung © 2017 Smokey Service

Share this topic on FacebookShare this topic on MySpaceShare this topic on RedditShare this topic on TwitterAuthorTopic: [DEUTSCH] OTL Anleitung - Wie man Oldtimer ListIt benutzt  (Read 37325 times)

0 Members and 1 Guest are viewing this topic.

schrauberTopic starter

  • Visiting Staff
  • *
  • Offline Offline
  • location: Germany
  • Posts: 137
  • .: Translator: German OTL Tutorial

OTL ist ein flexibles und vielseitiges Programm zur Analyse und Bereinigung des Systems.

*************************

Einführung

Spenden Informationen

OTL ist kostenlos. Jedoch ist es das Ergebnis von erheblichem Zeitaufwand und Anstrengungen durch Oldtimer. Das Programm beinhaltet mehrere tausend Zeilen Code, und wird sehr oft aufgrund der wechselnden Malware upgedatet. OldTimer opfert auch unzählige Stunden mit der Unterstützung der Helfer an den Foren und deren Usern.Wenn Du das Programm hilfreich findest und seine Anstrengungen unterstützen möchstest, kannst Du ihm eine Tasse Kaffee spendieren, oder auf den Paypal Link klicken:

Tutorial Informationen

Dieses Tutorial wurde kreiert und ist Besitz von emeraldnzl. Bitte wendet Euch an emeraldnzl wenn Ihr aus diesem Tutorial zitieren oder es an anderen Seiten posten wollt. Dieses Tutorial wurde eigentlich dazu erstellt, den verschiedenen Helfern an den diversen Foren Hilfestellung zu bieten.

Hinweis: Dies ist die Originalkopie des Tutorials. Falls Ihr dieses nach Absprache bei einer anderen Seite postest kontrolliert bitte das Datum unten rechts, damit Ihr auch immer die aktuelle Version habt. Diese Programme sowie die Anleitungen werden ständig aktualisiert.

Wichtiger Hinweis!: Während OTL in erster Linie ein diagnostisches Werkzeug ist, besitzt es fortgeschrittene Beseitigungsmechanismen. Wenn Du die Instruktionen in dieser Anleitung nicht verstehst, suche bitte Hilfe von einem Experten, der in einem der Foren unten verzeichnet ist. Bitte extrem vorsichtig vorgehen, wenn Ihr irgendwelche Scripte erstellt. Unpassender Gebrauch kann Datenverlust oder ein nicht mehr lauffähiges System verursachen.

Übersetzungen

Dieses OTL Tutorial wird in mehreren Sprachen angeboten (Links führen auf andere Seiten).

English/Englisch:Smokey's Security Forums

Spanish/Spanisch:Smokey's Security Forums

French/Französisch:Assiste


Foren, die OTL als erstes Diagnose-Programm benutzen, und kostenlosen Hilfe anbieten

Englisch:Französisch:Portugiesisch:.

Inhaltsverzeichnis
.

Unterstützte Betriebssysteme

OTL hat 32-bit- und 64-Bit-Funktionalität. Es arbeitet mit allen Windows NT Versionen von Windows 2000 bis Windows 7.

Es läuft nicht auf Windows 9/x Versionen.

Diagnose

OTL wird meist als Analysetool genutzt um sich zu Beginn des Threads einen Überblick über das System zu verschaffen, dabei liefert es nicht nur Informationen über vorhandene Malware, sondern auch einen Überblick über den Zustand des betroffenen Systems im Allgemeinen.
Zudem kann man OTL auch als Bereinigungstool für die Nachsorge einsetzen, wenn vorher mit einem anderen Tool (zb Combofix) bereinigt wurde. Es kann dabei ein besseres Verständnis der Befälle bringen und ermöglicht ein einfaches Handhaben von Bereinigungen die sonst riskant oder langwierig wären. Eine von OTL's besonderen Stärken sind seine Custom Scans: Man kann mit ihnen nach jeder beliebigen Datei und jedem Registryeintrag suchen. Das ist von Vorteil, da das Programm nicht neugeschrieben werden muss, wenn Malware neue Wege findet um ein System zu infizieren. Es reicht einen neuen zusätzlichen Scan hinzuzufügen, um die notwendigen Infos zu bekommen. Im Verlauf der Zeit, wenn die Malware ausstirbt und neue Infektionen erscheinen, können derartige angepasste Scans ohne Aufwand entfernt oder aktualisiert werden. So kann man seine persönliche Liste an angepassten Scans erstellen und genau die Informationen abfragen, die einen interessieren.

Fixes

OTL hat eine große Auswahl an Befehlen, die verwendet werden können um laufende Prozesse zu manipulieren und identifizierte Probleme zu beheben.

Ausserdem gibt es mehrere Schalter, die sowohl zur Analyse als auch zur Bereinigung eingesetzt werden können.

Cleanup

Die Funktion CleanUp von OTL entfernt automatisch viele der während der Bereinigung genutzten Werkzeuge.

Vorbereitung

Die heutige Malware ist im Stande, all unsere Tools die wir benutzen, zu stören. Falls die OTL.exe mal behindert werden sollte besteht die Möglichkeit diese in OTL.com umzubenennen.

OTL legt keine Registrysicherungen an! Wenn der Helfer nicht selber Backups mit Erunt macht, muss er bei auftretenden Probleme mit der Systemwiederherstellung arbeiten.

OTL deaktiviert den automatischen Zeilenumbruch in Notepad, sodass es beim Erstellen des Logfiles nicht zu Komplikationen kommt. Bei Nutzung der Cleanup Funktion wird dieser wieder auf den Standardwert zurückgesetzt.

OTL benutzen

Der User wird beauftragt, OTL auf den Desktop zu laden. Von dort ist es einfach, OTL durch einen Doppelklick zu starten. Das OTL-Icon sieht so aus wie folgt:


Wenn OTL gestartet ist, wird dem Benutzer eine Konsole geboten, die so aussieht:


Anhand des folgendes Bausteins für OTL kann man sich ein Bild machen, wie dem Benutzer über das Forum vermittelt werden kann, wie er das Programm zu konfigurieren hat:

Code: [Select]
[list]
[*]Lade [url=http://oldtimer.geekstogo.com/OTL.exe][b][color=#FF0000]OTL[/color][/b][/url] auf Deinen Desktop.
[*]Doppelklicke auf das Icon um das Tool zu starten. Vergewissere Dich dass alle anderen Programme beendet sind und lass das Tool ungehindert laufen.
[*]Wenn das OTL Fenster auftaucht, klicke unterhalb von [u][b]Ausgabe[/b][/u] auf [b]Minimal Ausgabe[/b].
[*]Unter der Box [b]Standard Registrierung[/b] wechsle zu [b]Alles[/b].
[*]Setze einen Haken neben die Kästchen [b]LOP Prüfung[/b] und [b]Purity Prüfung[/b].
[*]Klicke auf den [u]Run Scan[/u] Button. Ändere keine Einstellungen, ausser Du wirst dazu aufgefordert. Der Scan dauert nicht lange.
[*]Wenn der Scan beendet ist werden sich 2 Notepad-Fenster öffnen, [b]OTL.Txt[/b] und [b]Extras.Txt[/b]. Diese werden am selben Ort gespeichert wie OTL.
[*]Bitte kopiere [b](Bearbeiten->Alles Markieren, Bearbeiten->Kopieren)[/b] Den Inhalt dieser Textdateien, eine nach der anderen, und poste sie in Deiner nächsten Antwort.
[/list]

Nach dem ersten Durchlauf von OTL, werden Kopien der Logfiles im OTL-Ordner gespeichert. In darauffolgenden Läufen wird nur die OTL.txt erzeugt.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • :\_OTL\Moved Files
      In den meisten Fällen wird dies C:\_OTL\Moved Files sein


Download Links
Direkte Download Links

Die korrekten Downloadlink mit den aktuellen Version ist http://oldtimer.geekstogo.com/OTL.exe

Für Nutzer, die keine ausführbaren Dateien laden können, gibt es hier OTL mit .com oder .scr Erweiterung.

Links:
http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr

Hinweis: Nutzt den Internet Explorer, um diese Dateien zu laden. Wenn Ihr Firefox benutzt, macht bitte einen Rechtsklick auf den Downloadlink und wählt "Ziel speichern unter" aus dem Kontextmenü.

Ausgabe
Header

Hier ist ein Beispiel eines Headers:

OTL logfile created on: 16/09/2009 12:11:33 PM - Run 1
OTL by OldTimer - Version 3.0.14.0 Folder = C:\Documents and Settings\John Doe\Desktop\Geekstogo
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C09 | Country: Australia | Language: ENA | Date Format: d/MM/yyyy

494.80 Mb Total Physical Memory | 154.25 Mb Available Physical Memory | 31.17% Memory free
1.13 Gb Paging File | 0.74 Gb Available in Paging File | 65.64% Paging File free
Paging file location(s): C:\pagefile.sys 744 1488 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 37.26 Gb Total Space | 19.84 Gb Free Space | 53.25% Space Free | Partition Type: NTFS
Drive D: | 7.58 Gb Total Space | 0.00 Gb Free Space | 0.00% Space Free | Partition Type: UDF
Drive E: | 22.20 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: YOUR-4DACD0EA75
Current User Name: HP_Administrator
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan


Ein aufmerksames Studieren dieser Information kann jede Menge Zeit bei weiteren Arbeiten ersparen.

Beschreibung der einzelnen Zeilen

Die erste Zeile: Datum und Uhrzeit des Laufs sowie Angabe um welchen Lauf es sich handelt.

Hinweis: Das Datum wird im jeweiligen vom User eingestellten Format angezeigt.

Somit warnt uns diese Zeile auch, falls ein User irrtümlich ein altes Logfile postet.

Die zweite Zeile: Versionsnummer und Speicherort. Bitte darauf achten, dass immer die neueste Version von OTL verwandt wird um zu verhindern, dass bereits behobene Bugs weiterhin zu Problemen führen.

Die dritte Zeile: Windows-Version sowie Angabe des Dateisystems.  Man sollte dabei immer darauf achten, dass die in Folge angewandten Programme auch auf dem System laufen.

Die vierte Zeile: Version des Internet Explorers. Achtung bei installiertem IE8, dieser kann auf einigen Maschinen Probleme verursachen.

Die fünfte Zeile: Angaben zu Land, Sprache, Datumsformat und Betriebssystem. Kann in der Vorbereitung von Antworten nützlich sein. Eine Liste der verwandten Akronyme kann hier gefunden werden:http://www.microsoft.com/globaldev/reference/winxp/langtla.mspx.

Die sechste Zeile:Angabe des totalen und freien Arbeits- und Festplattenspeichers.

Achtung: Die Angaben müssen nicht unbedingt mit dem Übereinstimmen, was der Benutzer zu glauben besitzt. Die RAM-Größe wird zum Beispiel dann als geringer ausgegeben, wenn das System nicht auf das gesamte RAM zugreifen kann. Das ist der Fall wenn zum Beispiel das RAM kaputt ist oder es Probleme mit den Motherboard Slots gibt. Es kann ebenfalls sein, dass das BIOS nicht alles erkennen kann (sprich ein Upgrade braucht). Da OTL eine 32bit Anwendung ist, kann es zudem maximal 4Gb erkennen, auf Systemen mit mehr als 4Gb RAM ist diese Angabe falsch.

Die siebte und achte Zeile: Speicherort der Pagefile sowie die Größe der Datei und die Nutzung des reservierten Speicherplatz.

Die neunte Zeile: Gibt den Inhalt der Variablen %systemdrive%, %systemroot% und %programfiles% an.

Die folgenden Zeilen: Angabe zu Ort, Formatierung und Aufteilung der einzelnen Laufwerke. Wenn weniger als 15% der Partition frei ist, kann dies negative Auswirkungen auf das Ausführen von Programmen haben. Wenn der freie Platz wirklich sehr gering ist, etwa unter 5%, besteht das Risiko, dass der PC durch das Ausführen eines Programms unbootbar wird.
OTL gibt immer die Laufwerke C: bis I: aus, egal ob diese Laufwerke auch wirklich existieren oder nicht. Bei den Laufwerken J: - Z: werden nur die angegeben, die vorhanden sind.


Die darauffolgenden Zeilen sind selbsterklärend, sie geben an in welchem Modus der Rechner gestartet wurde, ob OTL nur die Einstellungen des eingeloggten Benutzers oder die aller Benutzer gescannt hat, ob 64bit spezifische Scans ausgeführt wurden, ob die Whitelist für Firmennamen aktiv war, ob MS Dateien ausgefiltert wurden, welches maximale Alter für die Dateiscans genutzt wurde, ob für die Ausgabe "Standard" oder "Minimal" ausgewählt wurde und ob es sich um einen normalen oder einen schnellen Scan handelt.

OTL fügt Hinweise zu bestimmten Log-Einträgen hinzu:

[2008/01/20 21:52:15 | 01,216,000 | ---- | M - der letzte Charakter innerhalb der Klammern, C oder M, steht für neu erstellt oder modifiziert.

Alle Scans außer dem Files Created scan und den Files Created No Company Name scans werden das Datum anzeigen, an dem die Datei das letze Mal verändert wurde. Die zwei Created scans zeigen das Datum, an dem die Datei erstellt wurde. Viel Malware werden das modifizierte Datum benutzen, um sich zu verbergen oder sich mit anderen Dateien in einer Reihe auflisten zu lassen. Wenn eine Datei oder ein Ordner ein Modifizeriungs-Datum 2003 zeigt, aber 2010 erschaffen worden ist, sollte man sich diese Einträge genauer anschauen.

[2010/03/15 18:25:02 | 1609,916,416 | -HS- | M] () -- C:\hiberfil.sys - die vier Attribute nach der Dateigröße können RHSD sein und stehen für:

R - Nur Lesen
H - Versteckt
S - System
D - Ordner

SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()  - zeigt an, dass es keinen Firmennamen gibt. Der Firmenname wird innerhalb der Schleife erscheinen. Der grösste Teil von Malware wird keinen Firmennamen haben (aber einige benutzen einen um sich zu verbergen), aber nicht alle Dateien ohne einen Firmennamen sind schädlich.

[2009/03/10 15:54:00 | 00,000,000 | ---D | M - dies zeigt einen Ordner (D) der am 03.10.2009 verändert (M) wurde.
In diesem Fall ist das Beispiel ein Ordner wo das Datum das Datum der Veränderung anzeigt.

Ordner haben immer eine Dateigröße von null, wie das Beispiel zeigt. Eine Datei hat nicht das Attribut D und normalerweise eine Dateigrößer größer Null.

Standard Scan Areas

PRC - Processes
MOD - Modules
SRV - Services ( O23 in HJT )
DRV - Drivers
Standard Registry
IE - Internet Explorer Settings
FF - FireFox Settings
O1 bis O24 - das Gleiche wie in einem HJT log
O27 Image File Execution Options
O28 Shell Execute Hooks
O29 Security Providers
O30 Lsa
O31 SafeBoot
O32 Autorun files on drives
O33 MountPoints2
O34 BootExecute
O35 - .com and .exe shell spawning values
O36 appcert dlls
O37 file associations  (for .com and .exe shell spawning values)

Files/Folder scans

Extra Registry - wird nur beim ersten Lauf automatisch ausgeführt. Wenn diese Infos nochmal zusammengestellt werden sollen, muss der User entprechend darauf hingewiesen werden, die All Option bei der Extra Registry Gruppe anzuhaken.
File Associations
Shell Spawning
Security Center
Authorized Applications (wenn es sich nicht um ein Vista-System handelt)
Vista Firewall Rules (Wenn es sich um ein Vista-System oder neuer handelt)
Uninstall List
Event Viewer (letzten 10 Fehlermeldungen aus jedem der drei Ereignisanzeigen)

Der Scan kann je nach Bedarf in zwei verschiedenen Varianten präsentiert werden, als Standard- oder minimale Ausgabe. Auswählbar in der Werkzeugleiste.
Weiterhin kann man sich mit Hilfe der Safelist bekanntermaßen gute Prozesse ausblenden lassen (Default Wert) oder mithilfe der "alles" Option, alle Einträge anzeigen lassen.

Hinweis: Bei der Standardausgabe werden Datums- und Zeitangaben der Dateien angezeigt, während mit der minimalen Ausgabe nur der Dateiname / Pfad und Firmenname angegeben werden. Für die Processes, Modules, Services, Drivers, und File Scans wird die Ausgabe nach dem Datum der Dateien sortiert. Bei allen anderen Custom Scans wird die Ausgabe nach Pfad und Dateiname sortiert. Bei 64 Bit Betriebssystemen wird am Anfang der Ausgabe ein 64-Bit-Symbol zu sehen sein.

Die Safelist ist eine Liste von derzeit mehr als 600 Dateien von Microsoft, die bei einem Scan nicht angezeigt werden, ausser die All Option-Ausgabe wurde aktiviert.

Hinweis 2: Bei einem Custom Scan ist es zwingend notwendig, den Run Scan Button zu benutzen. Wird der Quick Scan Button benutzt, läuft der Scan mit den Standardeinstellungen.


Es gibt auch einige zusätzliche vordefnierte Befehle, die im Custom Scan verwendet werden können:

Hinweis:  Bis auf die Ausgabe des HijackThisBackups-Befehl, können alle Einträge direkt in die :OTL Sektion eines Custom Fixes kopiert werden.


hijackthisbackups - zeigt alle HJT-Backups
netsvcs - zeigt Einträge unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
msconfig - zeigt Einträge unter HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig
safebootminimal - zeigt Einträge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal
safebootnetwork - zeigt Einträge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network
activex - zeigt Einträge unter HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed Bestandteile
drivers32 - zeigt Einträge unter HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32

Hinweis: Standardmäßig wird bei jedem der vordefinierten Befehle die Safelist verwendet,um bekannte gute Einträge herauszufiltern. Um alle Einträge angezeigt zu bekommen, muss am Ende des Befehls der /ALL Schalter angewendet werden.(BSP: netsvcs / ALL).

Example Output

Processes

Zeigt die laufenden Prozesse auf dem System:

========== Processes (SafeList) ==========

Standard:
PRC - [2009/11/11 00:03:54 | 00,529,408 | ---- | M] (OldTimer Tools) -- C:\OldTimer Tools\OTL.exe

Minimal:
PRC - C:\OldTimer Tools\OTL.exe (OldTimer Tools)

Modules

========== Modules (SafeList) ==========

Standard:
MOD - [2009/04/28 10:05:56 | 00,715,264 | ---- | M] (Agnitum Ltd.) -- c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll

Minimal:
MOD - c:\Program Files\Agnitum\Outpost Firewall\wl_hook.dll (Agnitum Ltd.)

Services

Zeigt die laufenden Dienste auf dem System:

========== Win32 Services (SafeList) ==========

Standard:
SRV:64bit: - [2008/01/20 21:52:15 | 01,216,000 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2009/09/06 12:38:06 | 00,071,096 | ---- | M] () -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)

Minimal:
SRV:64bit: - (WMPNetworkSvc) -- C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (NMSAccessU) -- C:\Program Files (x86)\CDBurnerXP\NMSAccessU.exe ()

Drivers

Zeigt die Treiber des Systems. Werden im Quick Scan standardmäßig nicht gezeigt. Sie müssen gesondert ausgewählt werden und der Run Scan Button muss benutzt werden.

========== Driver Services (SafeList) ==========

Standard:
DRV:64bit: - [2009/02/10 16:14:00 | 00,399,384 | ---- | M] (Agnitum Ltd.) -- C:\Windows\SysNative\drivers\afwcore.sys -- (afwcore)
DRV - [2009/09/28 20:57:28 | 00,007,168 | ---- | M] () -- C:\Windows\SysWOW64\drivers\StarOpen.sys -- (StarOpen)

Minimal:
DRV:64bit: - (afwcore) -- C:\Windows\SysNative\drivers\afwcore.sys (Agnitum Ltd.)
DRV - (StarOpen) -- C:\Windows\SysWOW64\drivers\StarOpen.sys ()

Standard Registry

========== Standard Registry (SafeList) ==========

Internet Explorer

========== Internet Explorer ==========

Dieser Abschnitt zeigt die Internet Explorer Einstellungen

Quote
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?p...ER}&ar=home
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = http://uk.red.clientapps.yahoo.com/customi...fo/bt_side.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.co.uk/talktalk
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - URLSearchHook: {18944614-1340-4483-bac9-6778840b9970} - C:\Program Files\TalkTalk Mail Toolbar\talktalkmailtb.dll (AOL LLC.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80



Schauen wir uns ein paar Beispiele genauer an:

  • IE Standardstartseite: MSN
    .
  • IE Standardsuchmaschine: Bing
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
  • IE 7 Mode "NoAdd-Ons" wird ausgeführt.
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page =
  • local page ist leer. Eine andere Enstellung könnte so sein =C:\WINDOWS\System32\blank.htm.
    .
    • IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
  • Informiert den User nicht mit den gegnwärtigen Sicherheitseinstellungen zu surfen, da sie ein Risiko für das System darstellen.  Hier findet man eine Liste von about:Adressen.
    .
  • Yahoo web page
  • Steht im Zusammenhang mit Yahoo BHO.
    .
  • Standard Startseite des Nutzers
    .
  • Google ist als Haupt-Suchseite eingerichtet
    .
  • Zeigt Google als voreingestellte Such-Engine
    .
    Proxy settings.

    • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
  • = 0 zeigt den  Proxy Server als deaktiviert (den Wert auf 1 setzen um  'ProxyEnable' zu erreichen)
     .
    • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
  • Listet die Ausnahmen, für den der Proxy nicht genutzt wird. Hier sind dass alle netzwerkinternen Adressen
    .
    • IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 0.0.0.0:80
  • Ist keine reguläre IP aber 0.0.0.0 heißt "Jede IP die der Computer anbietet". Darin inbegriffen sind alle externen IPs, sowie die loopback IP 127.0.0.1 über die einige Programme miteinander kommunizieren. Viele AVP erzeugen einen derartigen Proxy um ausgehende Mails zu filtern.

    Firefox

    ========== FireFox ==========

    Dieser Bereich zeigt die Firefox Einstellungen.

    Quote
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
    FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
    FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
    FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
    FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
    FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.14
    FF - prefs.js..network.proxy.no_proxies_on: "localhost"

    FF - HKLM\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2009/06/23 22:50:00 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2009/03/10 15:54:00 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: c:\program files\real\realplayer\browserrecord\firefox\ext [2009/09/06 17:41:17 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Components: C:\Program Files\Netscape\Netscape Browser\Components [2009/09/23 09:12:35 | 00,000,000 | ---D | M]
    FF - HKLM\software\mozilla\Netscape Browser 8.0.3.4\Extensions\\Plugins: C:\Program Files\Netscape\Netscape Browser\Plugins [2009/09/23 09:12:34 | 00,000,000 | ---D | M]


    Taking some items from the above example we see:
    .
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}:6.0.12
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
    • FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15
  • Sun's Java Console
    .
    • FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
  • Java quick starter Addon
    .
    • FF - prefs.js..extensions.enabledItems: {20a82645-c095-46ed-80e3-08825760534b}:1.1
  • Microsofts .NET Framework Assistent für Firefox
    .
    • FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0
  • Real Player
    .
    • FF - prefs.js..extensions.enabledItems: {B13721C7-F507-4982-B2E5-502A71474FED}:2.2.0.102
  • Skype
    .

    O1 bis O22 und O24

    Dieser Abschnitt ist dem eines Hijackthislogs sehr ähnlich. Hilfreich ist dafür das Tutorial bei Bleeping Computer.

    O10 benötigt eine extra Erklärung: Entgegen HijackThis wird OTL die Katalogeinträge eines Fixes bearbeiten und gleichzeitig den Winsock instandsetzen, somit kommt es nicht mehr zu einem defekten LSP.

    O27 Image File Execution Options

    Zählt die Einträge unter  HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options auf

    Erklärung hier.

    O28 Shell Execute Hooks

    HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

    Diese werden geladen wenn ein Programm startet (durch den Windows Explorer oder bei Aufruf der ShellExecute(Ex) Funktion). Dieses startup DLL modul wird über das Ausführen des Programms informiert und kann jede beliebige Handlung ausführen bevor das Programm selbst ausgeführt wird.

    O29 Security Providers

    Nennt alle Einträge unter HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders

    Quote
    O29 - HKLM SecurityProviders - (xlibgfl254.dll) - .Trashes [2008/11/03 13:08:10 | 00,000,000 | -H-D | M]
    O29 - HKLM SecurityProviders - (digiwet.dll) - File not found


    Dies sind Beispiele von schlechten. Mit Vorsicht behandeln, denn hier werden auch legitime angezeigt.

    O30 Lsa

    Listet Einträge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

    Quote
    O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\opnnLbaA.dll) - C:\WINDOWS\System32\opnnLbaA.dll File not found



    Das ist ein Beispiel eines schlechten Eintrages.

    Hinweis: LSA 32bit / 64bit Einträge:

    O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

    Für Einträge die im HKLM\System Bereich der Registry abgelegt sind gibt es nur einen Wert, der aber von 32Bit und 64Bit Anwendungen unterschiedlich interpretiert wird.

    Im vorrausgehenden Beispiel kan man sehen, dass eine 64bit Anwendung im sysnative Ordner (dem 64bit system32 Ordner) nach Dateien suchen wird, während 32bit Anwendungen im Ordner syswow64 (dem 32bit system32 ordner) suchen werden. Wenn man einen dieser Einträge entfernt hat das sowohl Auswirkungen für die 32bit wie auch für die 64bit Handlungen. Entfernt man eine der beiden Linien, so löscht dass den Registryeintrag für beide, entfernt jedoch nur die in der Zeile benannte Datei. Wenn beide Dateien entfernt werden sollen, dann müssen auch beide Linien entfernt werden. Es ist daher wichtig das Log von OTL richtig zu verstehen, um zu wissen ob ein bestimmter Registryeintrag sowohl von 32bit als auch von 64bit Anwendungen benutzt wird. Es kann zum Beispiel passieren, dass ein Registryeintrag eine legitime 64bit Datei und eine schädliche 32bit Datei startet. In solch einem Fall darf der Registryeintrag nicht gelöscht werden, weil sonst die legitime 64bit Datei nicht mehr ausgeführt wird, was zu einem instabilen System führen könnte.

    Schauen wir uns folgendes Beispiel genauer an:

    O30:64bit: - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30 - LSA: Authentication Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
    O30:64bit: - LSA: Security Packages - (kerberos) - C:\Windows\SysNative\kerberos.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (msv1_0) - C:\Windows\SysNative\msv1_0.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (schannel) - C:\Windows\SysNative\schannel.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (wdigest) - C:\Windows\SysNative\wdigest.dll (Microsoft Corporation)
    O30:64bit: - LSA: Security Packages - (tspkg) - C:\Windows\SysNative\tspkg.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (kerberos) - C:\Windows\SysWow64\kerberos.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (msv1_0) - C:\Windows\SysWow64\msv1_0.dll ()
    O30 - LSA: Security Packages - (schannel) - C:\Windows\SysWow64\schannel.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (wdigest) - C:\Windows\SysWow64\wdigest.dll (Microsoft Corporation)
    O30 - LSA: Security Packages - (tspkg) - C:\Windows\SysWow64\tspkg.dll (Microsoft Corporation)

    Hier kann man sehen, dass die 32bit version der msv1_0.dll manipuliert wurde. Es sollte eine Microsoft Datei sein, wurde aber durch eine unbekannte Datei ersetzt. In einem derartigen Fall sollte nur die Datei C:\windows\syswow64\msv1_0.dll entfernt werden, aber NICHT der dazugehörige Registryeintrag, da dieser noch die 64bit Version startet. Es sollte außerdem ein Ersatz für die veränderte 32bit msv1_0.dll gefunden werden, da diese für installierte 32bit Programme notwendig sein kann.


    O31 SafeBoot

    Zählt die Schlüssel und Werte von folgendem Unterschlüssel auf: HKEY_LOCAL_MACHINE\system\currentcontrolset\SafeBoot

    O32 Autorun files on drives

    Das Aufrufen eines externen Laufwerkes über Explorer oder "Mein Computer" führt dazu, dass eine evtl vorhandene autorun.inf Datei ausgeführt wird.

    Abhängig von den Autorun/Autoplay Einstellungen wird der User dazu verleitet eine schlechte Datei beim Aupoppen des Auturun-Fensters auszuführen. Beim Klicken auf ein Icon aus dem  "mit diesem Programm ausführen"... Dialog kann eine nicht legitime Datei, die der autorun.inf Datei dieses Laufwerkes hinzugefügt wurde, ausgeführt werden.

    Manche Malware bildet autorun.inf Dateien auf jedem logischen Laufwerk.

    O33 MountPoints2

    Listet Einträge unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

    O34 BootExecute

    Listet Einträge unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

    O35 shell spawning values

    Nennt die  shell spawning values für .com und .exe (keine anderen Dateierweiterungen) in der Registry.

    Sie können, wie jede andere Zeile aus dem Standard Registry Scan einfach korrigiert werden, indem man sie in ein :OTL Skript kopiert. Dies gilt nicht für die shell spawning values aus dem Extra.log

    Bei Win Police Pro Befall sieht man einen Dateinamen anstatt des normalen "%1" %*. Ist das der Fall sollten die Zeilen in den :OTL Abschnitt kopiert werden.

    O36 appcert dlls

    Listet Einträge unter HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls key

    O37 file associations (für comfile und exefile shell spawning values)

    Listet die file associations für die shell spawning values von .com and .exe Registry Einstellungen.

    Shell spawning und file associations sind eng miteinander verbunden. Die O35 Einträge zeigen die shell spawning values (comfile und exefile) und die O37 Einträge zeigen die file associations (.com und .exe).

    Man sieht diese Einträge wenn man die Extra Registrierung beim Erstellen des Logfiles mit einbezieht. Wenn sie dann nicht vorhanden sind könnten sie versteckt sein. Die 037 Zeilen bieten die Option diese Einträge zu sehen, wenn keine Extra Registrierung angeklick wurde.

    Der file association Wert ist ein einzelner Standardwert der auf die shell spawning Werte verweist. Es ist der shell spawning Wert wo weitere ausführbare Dateien angehängt werden können. Als Beispiel zeigt die file association für exe Dateien auf exefile,  aber Malware kann auf einen Spawning Wert verweisen, der eine schlechte Datei lädt. Die Datei wird in einem File Scan angezeigt. Aber das Beseitigen dieser Datei, ohne die Registrierung zu reparieren endet damit, dass keine Exe Dateien mehr ausgeführt werden können.

    Wenn hier Einträge mit OTL adressiert werden wird OTL jede HKLM .com oder .exe file association zurück auf den Standardwert setzen, löscht aber jegliche vom User veränderte Einstellungen. Es wird auch immer die  HKLM shell spawning Einstellung auf Standard zurückgesetzt.

    Note: Wenn sich der spawning key im Registrierungsbereich des Users befindet wird dieser immer entfernt, die Datei muss aber separat adressiert werden. Die Datei sollte im FileScan zu sehen sein und kann dort adressiert werden. Wenn der spawning key mit Reg Error: Key error angezigt wird, und es sich dabei um Malware handelt, dann sollte dieser ebenso im :Reg Bereich adressiert werden, nur um sicher zu gehen.

    Beispiel zu Entfernen aus dem HKLM Hive

    :reg
    [-hkey_local_machine\software\classes\"badfile"]

    und dazu noch die Datei aus dem FileScan adressieren, zb mit :files

    Beispiele von vordefinierten Custom Scan Befehlen

    NetSvcs

    Zählt die Einträge in folgendem Wert auf: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs

    Hinweis: Microsoft legt eine Standardliste von Diensten in diesem Wert ab während der Installation, nicht alle diese Dienste sind auch zwangsläufig auf dem Systen installiert. 'Service not found'/'File not found' Einträge sind nichts Ungewöhnliches.
     
    Achtet besonders auf die Signaturen der in diesem Teil aufgezählten Dateien:

    Quote
    NetSvcs: BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology)
    NetSvcs: 6to4 - C:\WINDOWS\System32\6to4v32.dll ()
    NetSvcs: Ias - Service key not found. File not found
    NetSvcs: Iprip - Service key not found. File not found
    NetSvcs: Irmon - Service key not found. File not found
    NetSvcs: NWCWorkstation - Service key not found. File not found
    NetSvcs: Nwsapagent - Service key not found. File not found
    NetSvcs: Wmi - Service key not found. File not found
    NetSvcs: WmdmPmSp - Service key not found. File not found
    NetSvcs: helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation)



    Im vorangehenden Beispiel sehen wir:

    helpsvc - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll (Microsoft Corporation) Dieser Eintrag ist legitim.
    BtwSrv - C:\WINDOWS\System32\BtwSrv.dll (X-Ways Software Technology) Dieser Eintrag ist nicht legitim. Vorsicht - auch wenn dieser Eintag schädlich ist, sind nicht alle nicht Microsoft Einträge schädlich. Überprüft immer ob die Dateien echt sind.
    6to4 - C:\WINDOWS\System32\6to4v32.dll () Dieser Eintrag ist nicht legitim.

    File Scans

    Es gibt eine Reihe von Einstellungen, die für die Standardsuche nach erstellten/veränderten Dateien angepasst werden können. (Diese Einstellungen werden nicht auf Custom Scans angewandt):
    • File Age - Der Wert ist normalerweise auf 30 Tage eingestellt (14 Tage für den Quickscan), die Dauer kann beliebig im Rahmen von 1-90 Tagen variiert werden, wenn man das unter File Age in Files Created Within oder Files Modified Within so einstellt.
    Wenn man die Einstellung All wählt, wird das angegebene Alter ignoriert und alle Dateien werden aufgeführt (Die Einstellung also mit Vorsicht benutzen).
  • Use Company Name WhiteList - Diese Einstellung ist für den Standardscan deaktiviert und für den Quickscan aktiviert.
Die Company Name WhiteList enthält etwa 150 Firmennamen. Dateien dieser Firmen werden ausgeblendet, wenn die Whitelist benutzt wird.
  • Skip Microsoft Files - Standardmäßig deaktiviert, aktiviert für den Quickscan.  Wenn diese Einstellung angewählt wird, werden alle Dateien, die Microsoft im Firmennamen haben, ausgeblendet.
  • Files Created Within/Files Modified Within - Die üblichen Suchen nach erstellten/veränderten Dateien. Sie werden deaktiviert wenn man die None Einstellung auswählt. Das maximale Alter der angezeigten Dateien wird durch das oben genannte File Age bestimmt.
  • LOP Check - Im Standardscan deaktiviert, beim Quickscan aktiviert. Durchsucht den Anwendungsdaten-Ordner des Benutzers und zeigt alle Ordner, die nicht auf der LOP Whitelist (etwa 160 Ordner, die als sicher einzustufen sind) stehen und alle Dateien im Windows Tasks-Ordner an.   
  • Purity Check -Im Standardscan deaktiviert, beim Quickscan aktiviert. Diese Option sucht nach allen bekannten Purity Ordnern und Dateien und zählt diese wenn vorhanden auf.
Ihr könnt den Benutzer anweisen jede dieser Optionen nach Bedarf zu setzen, um die für den jeweiligen Fall benötigten Logs zu erhalten.

Im Log

========== Files/Folders - Created within 30 Days ==========

Zeigt Dateien und Ordner an, die innerhalb der angegebenen Periode erstellt wurden.

Standardwert ist hier 30 Tage, kann aber auf bis zu 360 Tage erhöht werden.

========== Files - Modified within 30 Days ==========

Zeigt Dateien und Ordner an, die innerhalb der angegebenen Periode verändert wurden. Hier kann man ebenfalls eine Dauer von 1-360 Tage auswählen.

Hinweis: OTL zeigt die Firmennamen einer Datei an. Nur weil  eine Datei behauptet sie sei von Microsoft, muss sie nicht unbedingt legitim sein. Malware kann Firmennamen von allen möglichen Firmen übernehmen nud imitieren.

Hinweis 2: In einigen Logs werden Dateien auftauchen mit folgendem Hinweis: "File handle not seen by OS". Das passiert wenn das Betriebssystem kein Datei-Handle zur Datei zur Verfügung stellen kann, über das Handle werden Informationen wie Firmenname der Datei und die Attribute ausgelesen. Das bedeutet, dass die Datei zwar existiert, jedoch der Zugriff auf die Datei verhindert wird. Derartiges Verhalten kann auf Rootkits hinweisen und sollte zu weiteren Scans animieren.

Hinweis 3: Die files created/modified Scans führen außerdem ALLE Dateien in Anwendungsdaten, Programme und Programme\Gemeinsame Dateien unabhängig vom Alter auf. In diesen Ordnern sollten sich normalerweise keine Dateien befinden. Viele Schädlinge ändern ihr Erstellungsdatum, um Anlaysetools zu entgehen, die nur nach dem Alter schauen. Diese zusätzliche Liste sollte derartige Dateien in den angegebenen Ordnern finden können.

========== Files - No Company Name ==========

Zählt .exe, .dll, .ini, etc Dateien jeden Alters ohne Firmennamen auf.

========== LOP Check ==========

Der Lop Check zählt alle Ordner unter Anwendungsdaten, sowie alle Dateien in C:\WINDOWS\Tasks auf.

Ein O4 Eintrag mit zufälligen und sinnlosen Ordner- und Dateinamen in Anwendungsdaten ist wahrscheinlich LOP (Swizzor)

Der bereits erwähnte LOP-Filter filtert auch hier bekannte gute Ordner aus.

========== Purity Check ==========

Purity Check ist ein einfacher Scan nach Purity/Outerinfo. Wenn nichts gefunden wird erzeugt es kein Log. Purity ist eine gut erforschte Infektion, die nur bestimmte Namen für ihre Ordner nutzt und diese auch nur in wenigen Ordner ablegt. OTL überprüft all diese Ordner und zeigt nur die Ordner mit den Puritynamen an, falls es etwas findet.

========== Alternate Data Streams ==========

Alternate Data Streams werden hier erklärt (englisch).

Alle Dateien und Ordner, die während des Scans (sowohl Standard als auch Custom) einen Alternate Data Stream enthalten, werden hier aufgezählt. ADSs wie ZONE.IDENTIFIER, FAVICON und ENCRYPTABLE werden nicht aufgeführt.

Um einen ADS zu löschen, kann man einfach die Zeile in einem Fix unter :OTL einfügen.

========== Files - Unicode (All) ==========

Ein Beispiel könnte wie folgt aussehen:

[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\N?mesList.txt

Jede Datei und jeder Ordner, die während des Scans (sowohl Standard als auch Custom) Unicodesymbole enthalten werden hier aufgeführt.
Um sie zu löschen, kann man auch sie einfach in den :OTL Abschnitt des Fixes kopieren.

Extra Logfile

========== Extra Registry ==========

========== File Associations ==========

Zeigt an welcher Dateityp mit welcher Dateierweiterung assoziert wird, sowie welche Anwendung genutzt wird um die Dateien zu öffnen (z.b. .txt Dateien oder .reg Dateien)

========== Shell Spawning ==========

Zählt die Shell Spawning Werte für ALLE Dateierweiterungen auf.

Hier ein Beispiel von einem sauberen System:

Quote
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)



Hier ein Beispiel mit Win Police Pro

Quote
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
chm.file [open] -- "C:\WINDOWS\hh.exe" %1 (Microsoft Corporation)
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "C:\WINDOWS\System32\desote.exe" %* ()
htmlfile [edit] -- Reg Error: Key error.
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)



Der erste Eintrag ist der Schlüssel (zb exefile), der zweite Eintrag ist der Befehl (zb open).
Wenn ein derartiger Eintrag aufgeführt wird, muss er von Hand bereinigt werden. Für befallene comfile oder exefile Einstellungen kann man den Eintrag automatisch mit :OTL fixen lassen indem man die O35 Einträge aus dem OTL.log benutzt.

In einem Fix sollte man immer einen :reg Abschnitt einfügen um derartige shell spawning Einträge zu fixen.
Dieser könnte wie folgt aussehen:

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

Werden die Einträge nicht gelöscht so kann es sein, dass der Benutzer danach unfähig ist die entsprechenden Dateien auszuführen, auch wenn er weiterhin nach Windows booten kann.

Hinweis: Der :reg Fix wird für .com und .exe Dateien nur dann benötigt, wenn die O35 Einträge aus dem OTL.log nicht mit Hilfe von :OTL gelöscht werden.

Beispiel eines falschen Fixes:

[/list]
Code: [Select]
:OTL
PRC - C:\WINDOWS\svchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro
:commands
[Reboot]

Beispiel eines korrekten Fixes:

Code: [Select]
:OTL
PRC - C:\WINDOWS\svchasts.exe ()
SRV - (AntipPro2009_100 [Auto | Running]) -- C:\WINDOWS\svchasts.exe ()
O2 - BHO: (ICQSys (IE PlugIn)) - {76DC0B63-1533-4ba9-8BE8-D59EB676FA02} - C:\WINDOWS\System32\dddesot.dll (ASC - AntiSpyware)
[2009/09/08 09:53:11 | 00,000,036 | ---- | C] () -- C:\WINDOWS\System32\sysnet.dat
[2009/09/08 09:53:09 | 00,000,004 | ---- | C] () -- C:\WINDOWS\System32\bincd32.dat
[2009/09/08 09:53:05 | 00,498,688 | ---- | C] (ASC - AntiSpyware) -- C:\WINDOWS\System32\dddesot.dll
[2009/09/08 09:53:05 | 00,163,840 | ---- | C] () -- C:\WINDOWS\svchasts.exe
[2009/09/08 09:53:05 | 00,000,058 | ---- | C] () -- C:\WINDOWS\ppp4.dat
[2009/09/08 09:53:05 | 00,000,009 | ---- | C] () -- C:\WINDOWS\System32\bennuar.old
[2009/09/08 09:53:05 | 00,000,003 | ---- | C] () -- C:\WINDOWS\ppp3.dat
[2009/09/08 09:53:04 | 00,440,320 | ---- | C] () -- C:\WINDOWS\System32\desote.exe
[2009/09/08 09:53:02 | 00,001,708 | ---- | C] () -- C:\Documents and Settings\some user\Desktop\Windows Police Pro.lnk
[2009/09/08 09:52:54 | 00,000,000 | ---D | C] -- C:\Program Files\Windows Police Pro

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[Reboot]

========== Security Center Settings ==========

========== Authorized Applications List ==========

========== HKEY_LOCAL_MACHINE Unistall List ==========

< End of report >

schrauberTopic starter

  • Visiting Staff
  • *
  • Offline Offline
  • location: Germany
  • Posts: 137
  • .: Translator: German OTL Tutorial
Referenz der verfügbaren Befehle/Anweisungen für Bereinigungen mit OTL

Die Befehle/Anweisungen achten nicht auf Groß- und Kleinschreibung.

:processes

Es können entweder einzelne oder alle Prozesse gestoppt werden mit diesem Befehl.

Wenn die [EMPTYTEMP]-Anweisung nicht benutzt wird, man aber dennoch alle Prozesse stoppen will, dann kann man die Anweisung killallprocesses unter :Processes
einfügen. Alternativ kann man explorer.exe einfügen. Beides wird alle Prozesse abwürgen und am Ende einen Neustart erzwingen.

Beispiele für einzelne Prozesse die man während eines Fixes deaktivieren will sind TeaTimer, SpywareGuard oder andere Anti-Malware Programme sowie, natürlich, Malwareprozesse.

:OTL

Alle Zeilen aus dem Standard Scan, sowie alle Zeilen aus Custom Scans von Dateien/Ordnern können hier eingefügt werden um gefixt zu werden.
:OTL entfernt normalerweise den Eintrag und die dazugehörige Datei gleichzeitig, einzige Ausnahme sind Prozesse: Sie werden nur beendet und die dazugehörige Datei wird nicht gelöscht. Die Datei muss dann separat unter :Files gelöscht werden.

Einzelne Zeilen aus der HOSTS Datei (O1 Einträge) können nur im :OTL Abschnitt bereinigt werden.
Wenn man die Hostsdatei zurücksetzen will (nur die Zeilen 127.0.0.1 localhost und ::1 localhost) kann man die Anweisung [resethosts] unter dem Befehl :commands nutzen.

Bei den IE Einträgen werden nur die Daten aus dem Registrywert entfernt, der Wert selbst wird nicht gelöscht.

:Services

OTL versucht die aufgeführten Dienste zu stoppen und zu deaktivieren bevor es sie löscht. Es kann allerdings sein dass OTL unfähig ist dies zu tun, wenn sich die Malware zu gut schützt. In solchen Fällen muss der Dienst entweder im abgesicherten Modus oder über andere Wege deaktiviert werden.

Zu löschende Treiber können ebenfalls in diesem Abschnitt aufgeführt werden. Achtet darauf, dass der Name des Treiber oder Dienstes genutzt wird und nicht die Beschreibung.

:Reg

In diesem Abschnitt können jegliche Registryfixes durchgeführt werden. Ein Vorteil von OTL ist, dass man sich nicht mit hex-Einträgen abgeben muss. Man kann mit OTL auch hex-Einträge als reinen Text fixen.

Siehe folgendes Beispiel:

Bösartiger Eintrag:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0 C:\WINDOWS\system32\byXoMcbC

Um diesen Eintrag mit einer .reg-Datei zu löschen, müsste man wie folgt vorgehen:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6D,73,76,31,5F,30,00,00

Falls man unsicher sein sollte ob der hex-Wert korrekt ist und nicht das Risiko eingehen möchte etwas kaputt zu machen, kann man mit OTL einfach Folgendes tun:

Fix:

:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):"msv1_0"

OTL wird den Text in hex umwandeln und in die Registry einpflegen um den Eintrag zu reparieren.

:Files

Alle Dateien und Ordner, die man zusätzlich löschen möchte, kommen in diesen Abschnitt.
Bitte nicht die Zeilen aus dem OTL.log hier rein kopieren (Diese gehören in den :OTL Abschnitt)
Dieser Befehl ist nur für zusätzliche Dateien und Ordner, die verschoben werden müssen gedacht. (Zb Dateien von laufenden Prozessen oder Einträge aus anderen Logs, die man entfernen möchte)

Hinweis: OTL unterscheidet nicht zwischen Dateien und Ordnern. Ordner können einfach unter :Files eingefügt werden um gelöscht zu werden.

:Commands

Die folgenden Anweisungen müssen im :Commands Abschnitt aufgeführt werden, um ausgeführt zu werden.

[PURITY] - Löscht automatisch jegliche Puritybefälle auf dem System. Purity nutzt fest definierte Ordner, deren Namen Unicodesymbole enthalten. Die Anweisung löscht all diese Ordner, ohne dass man sie einzeln aufführen muss.

[EMPTYTEMP] - leert alle temporären Ordner für den Benutzer, das System und die Browser.
NB: Wenn diese Anweisung im Fix aufgeführt wird, werden automatisch alle Prozesse zu Beginn des Fixes beendet und ein Neustart wird zum Ende der Bereinigung notwendig sein. Man brauch also nicht explorer.exe unter :PROCESSES aufzuführen oder die Anweisungen [startexplorer] oder [reboot] unter:COMMANDS zu benutzen, wenn [emptytemp] benutzt wird.

[EMPTYFLASH] - entfernt alle Flash Cookies.
Hinweis: Nicht alle Flash Cookies sind schlecht. Manche enthalten nur diverse Einstellungen für Webseiten. Mit diesem Befehl werden alle gelöscht, egal was sie anthalten.

[REBOOT] - Erzwingt einen Neustart nach der Beendigung des Fixes.
NB: Diese Anweisung ist überflüssig wenn KILLALLPROCESSES oder Explorer.exe unter :PROCESSES aufgeführt wird, oder wenn die Anweisung [EMPTYTEMP] unter :COMMANDS aufgeführt wird, da diese sowieso einen Neustart erzwingen. Man kann es zwar hinzufügen, die Anweisung wird jedoch ignoriert.

[RESETHOSTS] - Setzt die HOSTS-Datei zurück auf die folgenden Standardwerte:
127.0.0.1 localhost
::1 localhost

Die gelöschte HOSTS-Datei wird als Backup in den entsprechenden Ordner von MovedFiles kopiert.

[CREATERESTOREPOINT] - Erstellt einen Systemwiederherstellungspunkt nachdem der Fix durchgelaufen ist.

[CLEARALLRESTOREPOINTS] -  Löscht nach dem Abarbeiten des Fixes alle vorhandenen Systemwiederherstellungspunkte und erstellt danach einen neuen.

Wenn eine der beiden vorrangehenden Anweisungen benutzt wird, kontrolliert OTL ob die für das Setzen eines SWH-Punktes notwendigen Dienste laufen und wird versuchen diese zu starten, falls sie nicht laufen.
Sollten die notwendigen Dienste nicht laufen und können sie auch nicht gestartet werden, so wird das im Log vermerkt mit einer Begründung wieso der Dienst nicht gestartet werden konnte.

Hinweis: Die beiden vorrangehenden Anweisungen können auch während eines Scans benutzt werden. Dabei muss man aber beachten, dass die Befehle dort ohne Klammern genutzt werden. Sprich die Befehle sehen wie folgt aus:

clearallrestorepoints oder createrestorepoint

Die [] Klammern fehlen.

Man kann CREATERESTOREPOINT oder CLEARALLRESTOREPOINTS in den Custom Scans zusammen mit jedem anderen custom scan (z.b. SAFEBOOTMINIMAL oder NETSVCS) ausführen. Die Anweisungen beachten Groß- und Kleinschreibung nicht
Eine Zeile im Log wird zeigen ob das Setzen des SWH-Punkts erfolgreich war oder warum es erfolglos war.


Schalter


Schalter sind optionale Erweiterungen, die bei eine Scan oder Fix benutzt werden können, um eine entsprechende Ausgabe zu erhalten.

Hinweis: Wenn ein ungültiger Schalter benutzt wird wird einfach eine Zeile (Invalid Switch:...) im Logfile angezeigt und der Scan geht weiter. Wenn der Schalter als ungültig angezeigt wird aber gültig ist, überprüft bitte die Versionsnummer von OTL.

Schalter für den Custom Scan:

/C - Um Befehle in der Kommandozeile auszuführen
Beispiel:
set /c - Gibt alle Umgebungsvariablen aus
net stop <servicename> /c - OTL stoppt und startet keine Dienste, sondern löscht diese nur. Mit diesem Schalter und dem Kommandozeilenbefehl net kann man dennoch Dienste anhalten, pausieren oder starten.
netstat -r /c - Zeigt die routing table an.

Jeder Befehl der in der Windows Kommandozeile funktioniert kann auch mit Hilfe des /C Schalters in OTL  benutzt werden und die Ausgabe des jeweiligen Befehls wird in das OTL log eingefügt. Dadurch kann man sich das Erstellen von Batchfiles ersparen.

/FP - Sucht nach Dateien und Ordnern die den angegebenen Bedingungen entsprechen
Beispiel:
c:\windows|myfile;true;true;true /FP

Parameter:
      myfile ist der gesuchte Begriff ( die Suche würde zum Beispiele folgende Dateien als Treffer anzeigen: c:\windows\myfile.exe, c:\windows\123myfile456.dat, c:\windows\notmyfileeither)
      Steige rekursiv in Unterordner ab ( Damit zeigt die Suche auch folgende Dateien als Treffer an wenn man true wählt: c:\windows\system32\helpmyfile.dll, c:\windows\msagent\intl\closetomyfile.ocx)
      Führe Unterordner auf (Wenn der Parameter auf true gesetzt wird und ein Ordnername den gesuchten Begriff enthält, dann werden die im Ordner enthalten Ordner ebenfalls aufgezählt.)
      Führe Dateien auf (Wenn true gewählt wird, dann werden Dateien, deren Namen zum gesuchten Begriff passen aufgeführt. Wird false gewählt, so werden nur Ordner aufgeführt.)

Der /FP Schalter wird intern für einige Suchen für den Standard Scan benutzt und wird von den meisten Helfern wahrscheinlich nicht benötigt werden. Man kann damit allerdings ein paar wirklich coole Sachen machen, sodass ich beschlossen habe, den Schalter für alle verfügbar zu machen. Es ermöglicht zum Beispiel gleichzeitig nach Ordnern und Dateien zu suchen, wenn man für beide nach demselben Begriff sucht.

/MD5 - Um die MD5 von Dateien zu erhalten
Anwendungen dieses Schalters sieht man zum Beispiel viel im Malware Cleaning Guide um gepatchte Dateien zu identifizieren. MD5 is ein eindeutiger mathematischer Wert der von einer Datei berechnet werden kann um festzustellen ob diese verändert wurde oder nicht. Sobald ein Byte der Datei verändert wird, ändert sich auch die MD5. Einige Beispiele vom Guide sind:
    %SYSTEMDRIVE%\iaStor.sys /s /md5
    %SYSTEMDRIVE%\nvstor.sys /s /md5
    %SYSTEMDRIVE%\atapi.sys /s /md5
    %SYSTEMDRIVE%\IdeChnDr.sys /s /md5
MD5 werden nicht in der Datei selbst gespeichert, sondern werden jedes Mal neu berechnet. Die angeführten Scans durchsuchen die Windowspartition nach Kopien der genannten Datei und lassen sich die gefundenen Dateien mitsamt ihrer MD5 ausgeben.
Wenn die MD5 der von Windows benutzten Datei (normalerweise in system32 oder system32\drivers) sich von der MD5 der Dateien in den Backupordnern (zb dllcache oder i386) unterscheidet, wurde sie wahrscheinlich gepatcht.
Wenn die MD5 leer bleibt, dann wurde sie sehr wahrscheinlich gepatcht und die Datei sollte durch eine legitime Kopie aus einem der Backupordner mithilfe von Programmen wie The Avenger ersetzt werden.

/MD5START und /MD5STOP - zum Umschliessen mehrerer Dateien die geprüft werden sollen.

Beispiel:
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
/md5stop

Dies erlaubt Dir mehrere Dateien gleichzeitig zu scannen ohne immer den kompletten Pfad angeben zu müssen. Wenn das Tool diesen Schalter sieht wird es beim Root-Laufwerk anfangen und das komplette Laufwerk scannen. Es trägt alle Dateien zusammen mit diesem Namen, die sich auf dem kompletten Laufwerk befinden.

Wenn es eine größere Anzahl an Dateien zum Prüfen gibt ist es sinnvoll, diese mit /md5start und /md5stop zu umschliessen, da dieser Weg effektiver ist und ein saubereres Logfile liefert. Wenn Du nur ein oder zwei Dateien prüfen willst ist /md5 ausreichend.

Hinweis: Wann immer der /md5start und /md5stop Block benutzt wird schaut OTL auch nach Servicepack .cab Dateien. Wenn solche gefunden werden schaut es in den Dateien nach, ob die Gesuchte enhalten ist. Wird eine gefunden wird sie in der Ausgabe gelistet. Dies is nicht der Fall wenn nur mit /md5 gesucht wird.

/LOCKEDFILES - um gesperrte Dateien zu finden wo die MD5 nicht berrechnet werden kann.

Dieser Scan scannt einfach alle Dateien, die wo es keine MD5 berrechnen kann werden in der Ausgabe gelistet.

Hinweis: Du musst eine genaue Pfadbezeichnung liefern, wie bei jedem anderen Filescan, und den /S Schalter benutzen wenn Du auch die Unterordner durchsuchen willst. Wenn Du sehen willst welche .dll Dateien im System32-Ordner gesperrt sind, machst Du das so:

%systemroot%\system32\*.dll /lockedfiles


Wenn aus irgend einem Grund alle Dateien gescannt werden müssen (Windows hat von sich aus ein paar gesperrte Dateien,  und wenn es keinen guten Grund gibt ist es auch nicht nötig alle zu sehen) muss der /all Schalter verwendet werden:

%systemroot%\system32\*.dll /lockedfiles /all

/RS - durchsucht die Registry nach einem bestimmten Begriff
Beispiel:
hklm\software\microsoft\windows\currentversion|somepattern /RS

Der /rs Schalter wird alle Schlüssel, Wertnamen und enthaltene Daten durchsuchen und die auf den Begriff passenden Einträge in das Log schreiben. Wenn kein zu durchsuchender Schlüssel angegeben wird (z.B. somepattern /rs), sucht OTL in folgenden Schlüsseln (und unterschlüsseln):
hklm\software\classes
hklm\software\microsoft
hklm\software\policies
hklm\system\currentcontrolset
hkcu\software\classes
hkcu\software\microsoft
hkcu\software\policies

Es ist jedoch besser einen Schlüssel zum Durchsuchen anzugeben.

/RP - um nach allen Reparse-Punkten zu suchen

Beispiel: c:\windows\*.* /RP or c:\windows\*. /RP

oder

Beispiel: c:\windows\*. /RP /s

Das Benutzen dieses Schalters wird alle Reparse Punkte zeigen (wie die die von der aktuellen maxx++ Infektion benutzt werden) und die Ergebnisse können einfach in den :OTL Bereich des Fixes eingetragen werden, um sie zu entfernen. Mit /s werden auch die Unterordner durchsucht.

/HL - um nur nach HardLinks zu suchen

Beispiel: c:\windows\*.* /HL or c:\windows\*. /HL

/JN - Um nach Knotenpunkten zu suchen

Beispiel: c:\windows\*.* /JN or c:\windows\*. /JN

/MP - um nur nach Mountpoints zu suchen

Beispiel: c:\windows\*.* /MP or c:\windows\*. /MP

Zum Zeitpunkt des Erstellens dieser Anleitung ein sehr nützlicher Befehl um in den Custom Scan einzutragen:

%systemroot%\*. /mp /s

Dies wird alle maxx++ Mountpoints beim ersten (oder folgenden) Scan finden und Du kannst sie mit dem ersten Fix entfernen.

/SL - um nur nach symbolischen Verbindungen zu suchen

Beispiel: c:\windows\*.* /SL or c:\windows\*. /SL

/SP - um eine String-Pattern Suche innerhalb von Dateien durchzuführen

Beispiel: c:\windows\*.*|somepattern /SP

Zu den Zeiten von WinPFind wurde dies oft benutzt, um Malware-Siganturen in Dateien zu finden. Heute wird es weniger benutzt, ist aber immernoch verfügbar.

/S - Um auf Unterordner in einem FileScan oder um auf Unterschlüssel in einer Registry Suche zurückzugreifen
 
Beispiel:
c:\windows\*.dat /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPI /S

Dieser Switch wird oft in Zusammenhang mit /MD5 oder /U benutzt, um hier ebenso auf die Unterordner zuzugreifen.

/U - um nur Unicode Dateien in die Suche einzubeziehen
Beispiel:
c:\windows\*.* /U

Ordner und Dateien mit Unicodesymbolen im Namen sehen im Explorer oft wie legitime Einträge aus. Während eines normalen Scans wird OTL automatisch alle Namen die Unicodesymbole enthalten in den Unicode-Abschnitt des Logs einfügen. Diese können dann einfach mithilfe von :OTL gelöscht werden. In vielen Scannern werden Unicodesymbole nicht korrekt interpretiert und als ? dargestellt, was ein Löschen der Einträge schwer macht. OTL erleichtert diese Arbeit. Ein Custom Scan mit dem Schalter /u wird nur die Dateien und Ordner ausgeben, die auch Unicode im Namen enthalten.

Ein Beispiel einer derartigen Ausgabe wäre:
< c:\*.* /U >
 
========== Files - Unicode (All) ==========
[1999/09/10 00:00:00 | 00,483,780 | ---- | M] ()(c:\N?mesList.txt) -- c:\NamesList.txt

/X - Zählt Einträge auf, die nicht auf das Muster passen.
Beispiel:
c:\windows\*.exe /X

Die Zeile zählt alle Dateien auf, die nicht .exe enthalten.

/64 - Sucht speziell in den 64bit Ordnern und Registryschlüsseln auf 64bit Systemen.
Beispiel:
c:\windows\system32\*.dat /64
hklm\software\microsoft\windows\currentversion\run /64

Da OTL eine 32-bit Anwendung ist, wird, wenn der /64 Schalter nicht benutzt wird, automatisch in den 32bit Bereichen des 64bit Systems gescannt. Der Schalter wird die Suche in den 64bit Bereichen erzwingen, wenn von Nöten.

/<beliebige Zahl> - Zeigt nur die Dateien an, die vor weniger als der angegebenen Zahl von Tagen erstellt wurde.
Beispiel:
c:\windows\system32\*.* /3

Der gezeigte Custom Scan zeigt die erstellten Dateien der letzten 3 Tage an.

Commands/Switches
Anweisungen/Schalter, die man im :Files Abschnitt nutzen kann

[override] und [stopoverride] - Setzt die interne Liste der nicht-verschiebbaren Dateien außer Kraft
Beispiel:
:FILES
[override]
c:\windows\system32\userinit.exe
[stopoverride]

OTL besitzt eine Liste von etwa 100 Dateien und Ordnern, die standardmäßig nicht verschoben werden dürfen. Damit soll verhindert werden, dass aus Versehen wichtige Systemdateien und -Ordner entfernt werden, was ein System potentiell nicht mehr hochfahren lassen könnte. Dieser Schutz lässt sich umgehen, man sollte damit aber sehr vorsichtig umgehen. Die [stopoverride] Anweisung sollte immer sobald wie möglich nach [override] benutzt werden um fatale Fehler zu vermeiden.

/<beliebige Zahl> - Genau wie im Custom Scan werden nur die Dateien und Ordner gelöscht, die in dem Zeitraum erstellt wurden.

Beispiel:
:FILES
c:\windows\system32\*.dll /2

Dies wird alle .dll Dateien im System32 Ordner verschieben, die in den letzten 2 Tagen erstellt wurden. Das kann sehr nützlich, aber auch sehr gefährlich sein. Vorsicht bei Verwendung dieses Schalters.

/64 - um die 64Bit spezefischen Ordner anstelle der standardmäßigen 32Bit Ordner zu benutzen. Wenn die Datei dort gefunden wird wird sie verschoben.

Beispiel:
:FILES
c:\windows\system32\badfile.exe /64

Dies wird OTL dazu veranlassen, im 64Bit System32 Ordner anstelle des 32Bit System32 Ordners zu arbeiten.

@ - um Alternate Data Streams zu löschen.
Beispiel:
:FILES
@c:\windows\system32:somedatastream

Normalerweise braucht man diesen Schalter nicht da die Alternate Data Streams bei einem OTL Scan gelistet werden und einfach in den :OTL Bereich des Fixes kopiert werden können. Wenn ein Scan mit einem anderen Programm gemacht wurde können diese mit diesem Schalter im :Files Bereich entfernt werden.

/C - Um Befehle in der Kommandozeile auszuführen

Es ist unwahrscheinlich, dass dieser Schalter häufig verwendet wird. Andere Schalter/Befehle decken die meisten Dinge ab... zum Beispiel, um eine Datei zu kopieren würdest Du gewöhnlich den /replace Schalter verwenden aber nicht einen DOS-Befehl. Dennoch kann es Gelegenheiten geben, wo es nützlich sein könnte. Zum Beispiel könntest Du einen Dienst provisorisch stoppen (aber nicht löschen wollen - denn der:Services-Befehl tut dies).
Beispiel:
:files
net stop <service> /c
<tu hier etwas>
net start <service> /c

/D - Löscht die Datei anstatt sie in Quarantäne zu verschieben.
Beispiel:
:FILES
%programfiles%\*.dll /D

Der Schalter löscht alle Dateien die dem Muster entsprechen anstatt sie zu verschieben. Ein Anwendungsbereich sind zum Beispiel .tmp Dateien. Mit Vorsicht zu genießen!

/E - um eine spezielle Datei aus einem CAB Archiv zu entpacken.
Beispiel:
:FILES
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E

Die Datei wird immer auf das Hauptlaufwerk entpackt ( meist C:\) . Von dort kannst Du die aktive Datei mit der entpackten durch den /replace Schalter ersetzen. Dies geschieht meist in zwei Schritten, da die zu ersetzende Datei meist aktiv ist. In diesem Fall wird das System neu gestartet und die Datei dann ersetzt.

Der komplette Ablauf des Entpackens und Ersetzens einer Datei könnte so aussehen:
Beispiel:
:files
C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /e
C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace

Hinweis: Vergewissere Dich den Schritt des Entpackens immer zuerst zu setzen, sonst wird es nicht funktionieren.

/lsp - um eine Datei aus dem LSP Stack zu entfernen.
Beispiel:
:Files
helper32.dll /lsp
winhelper86.dll /lsp

Für jede Zeile wird OTL den kompletten Stack durchsuchen, evtl Dateieinträge löschen und wenn was gelöscht wurde, den kompletten Stack zurücksetzen.

/replace

<Originaldatei>|<Neue Datei> /replace

Beispiel:

:files
C:\WINDOWS\System32\drivers\atapi.sys|c:\atapi.sys /replace

Wenn die Datei nicht sofort ersetzt werden kann (sie könnte in Benutzung sein) wird ein Neustart des Systems nötig sein um den Schritt zu vollenden.

Die Originaldatei und die neue Datei müssen weder vom selben Typ sein noch den selben Namen haben.

Hinweis: Vorsicht denn dieser Schalter arbeitet anders als bekannte Schalter anderer Tools. Die Originaldatei kommt zuerst.

Hinweis 2: Wenn Du vorhast eine Datei eines CAB Archivs zu verschieben muss diese zuerst entpackt werden, siehe /E Schalter.

/S - Durchläuft rekursiv alle Unterordner und löscht darin alle Dateien auf die das Muster zutrifft.
Beispiel:
:FILES
c:\windows\*.dat /S

Diese Zeile löscht alle .dat Dateien im Windowsordner und in sämtlichen Unterordnern.

/U - Verschiebt nur Dateien und Ordner die Unicodesymbole im Namen enthalten.
Beispiel:
:FILES
c:\windows\?ystem32 /U
%commonprogramfiles%\s?stem /U
c:\windows\expl?rer.exe /U /S

Jeder dieser Schalter wird nur die Datei oder den Ordner verschieben, der das Unicodesymbol an der Stelle des Fragezeichens hat. Es wird die entsprechendene legitimen Dateien, mit denselben Namen nicht anrühren. Typischerweise sieht man derartige Ordner und Dateien mit Purity (den man auch einfach mithilfe der [purity] Anweisung unter :Commands entfernen kann), aber es können auch andere Dateien Unicodesymbole enthalten.

Alle Schalter können beliebig kombiniert werden um den benötigten Effekt zu erhalten.

CleanUp

Man sollte CleanUp von OTL benutzen, wenn man einen Rechner nach dem Bereinigen aufräumen will. CleanUp ist dem Herunterladen von OTC vorzuziehen. Letzteres sollte nur benutzt werden, wenn keine anderen Programme von OldTimer während der Bereinigung genutzt wurden.

Es folgt eine Liste der Programme, die CleanUp entfernt.

!Killbox
*.run
_backupD
_OTL
_OTListIt
_OTM
_OTMoveIt
_OTS
_OTScanIt
404fix.exe
Avenger
avenger.exe
avenger.txt
avenger.zip
AWF.txt
BFU
bfu.zip
catchme
catchme.exe
ckscanner
cleanup.txt
ComboFix
ComboFix*.txt
combofix.exe
combo-fix.exe
Combo-Fix.sys
dds.com
dds.pif
dds.scr
Deckard
defogger
delete.bat
deljob
deljob.exe
dss.exe
dumphive.exe
erdnt\subs
exehelper
Extras.txt
fdsv.exe
FindAWF.exe
fixwareout
fixwareout.exe
fsbl*.log
fsbl.exe
gmer
gmer.dll
gmer.exe
gmer.ini
gmer.log
gmer.sys
gmer_uninstall.cmd
grep.exe
haxfix.exe
haxfix.txt
iedfix.exe
killbox.exe
logit.txt
Lop SD
lopR.txt
LopSD.exe
moveex.exe
nircmd.exe
NoLop.exe
NoLop.txt
NoLopOLD.txt
OTH.exe
OTL.exe
OTL.txt
OTListIt.txt
OTListIt2.exe
OTLPE
OTM.exe
OTMoveIt.exe
OTMoveIt2.exe
OTMoveIt3.exe
OTS.exe
OTS.txt
OTScanIt
OTScanIt.exe
OTScanIt2
OTScanIt2.exe
OTViewIt.exe
OTViewIt.txt
QooBox
rapport.txt
Rooter$
Rooter.exe
Rooter.txt
RSIT
RSIT.exe
Runscanner
Runscanner.exe
Runscanner.net
Runscanner.zip
Rustbfix
rustbfix.exe
SDFix
sdfix.exe
sed.exe
Silent Runners.vbs
SmitfraudFix
SmitfraudFix.exe
swreg.exe
Swsc.exe
Swxcacls.exe
SysInsite
systemlook
TDSSKiller
TDSSKiller.zip
TDSSKiller.exe
TDSSKiller*.txt
tmp.reg
vacfix.exe
vcclsid.exe
VFind.exe
VundoFix Backups
VundoFix.exe
vundofix.txt
vundofix.vft
win32delfkil.exe
windelf.txt
WinPfind
winpfind.exe
WinPFind35u
WinPFind35u.exe
WinPFind3u
WinPFind3u.exe
WS2Fix.exe
zip.exe

Dieses Tutorial wurde zuletzt am 2 Juni 2010 auf den neuesten Stand gebracht (NZ time/date)
br /
 

* Permissions
You can't post new topics.
You can't post replies.
You can't post attachments.
You can't modify your posts.
BBCode Enabled
Smilies Enabled
[img] Enabled
HTML Disabled


Except where otherwise stated, all content, graphics, banners and images included © 2006 - 2017 Smokey Services™ -- All rights reserved
Design board graphics, banners and images by Meg&Millie - Emma aka Tinker

This site don't store profiling-, tracking-, third-party and/or any other non-essential cookie(s) on client computers and is fully compliant with the EU ePrivacy Directive
Smokey's don't use any Web Analytics/Analysis Service, and also don't use any browser fingerprinting techniques

    

  

Smokey's provide free fully qualified OTL (OldTimer ListIt) and FRST (Farbar Recovery Scan Tool) Log / Malware Analysis & Removal Help and System Health Checks
rifle
rifle
rifle
rifle