OTL by OldTimer: interpretacja logów i usuwanie szkodliwych elementów

OTL tutorial PL
tutorial, opis, instrukcja, jak używać

poniższe instrukcje zostały opracowane na podstawie oficjalnego tutoriala oraz własnej wiedzy i obserwacji. Myślę, że są prawidłowe, lecz nie należy ich uważać jako wyroczni. W interpretacji logów, a zwłaszcza w usuwaniu poszczególnych elementów najważniejsza jest duża wiedza o systemie operacyjnym. Posiadając taką wiedzę patrząc na dowolny raport z każdej aplikacji, która taki generuje, szkodniki same wychodzą na wierzch. Dlatego jeżeli nie posiadasz dostatecznej wiedzy nie zabieraj się samodzielnie za usuwanie elementów, bo możesz narobić więcej szkody niż pożytku.

Generowanie logów i niestandardowe opcje skanowania
Analiza logów OTL: OTL.txt oraz Extras.txt
Usuwanie szkodliwych elementów w OTL

Wykorzystywanie tutoriala na innych stronach bez zgody zabronione. Proszę linkować do tego miejsca.

generowanie logów

Po ściągnięciu aplikacji na dysk uruchamiamy go i konfigurujemy. Proponuję konfigurację zalecaną na stronie fixitpc.pl autorstwa Picasso – wszystkie sekcje ustawiamy na Użyj filtrowania (pominięte zostaną zaufane pliki Microsoftu), zaznaczamy również Infekcja LOP i Purity, opcję Wszyscy użytkownicy. Pamiętajmy o zaznaczeniu sekcji Rejestr – skan dodatkowy: utworzony zostanie log Extras.txt. Po skonfigurowaniu wybieramy button Skanuj. Wizualnie wszystko na obrazku (kliknij aby powiększyć):

niestandardowe opcje skanowania

OTL umożliwia wykonanie skanowania z dodatkowymi, własnymi ustawieniami. W tym celu w pole Własne opcje skanowanie / skrypt wpisujemy dodatkowe komendy i klikamy Skanuj:

• netsvcs
  wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost – wartość netsvcs
• msconfig
  wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfig
• safebootminimal
  wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootMinimal
• safebootnetwork
  wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootNetwork
• activex
  wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components
• drivers32
  wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionDrivers32

Domyślnie wyniki zostaną przefiltrowane i nie wyświetlą znanych, zaufanych elementów. Aby wyświetlić wszystkie elementy, do każdego z podanego wyżej polecenia dodajemy przełącznik /all np. netsvcs /all

Przełączniki:

• /C
  przełącznik uruchamia linie komend DOS. Mamy możliwość wpisania komend z wiersza poleceń jak np. „regedit” do uruchamiania edytora rejestru, „set” do wyświetlenia zmiennych środowiskowych, „net stop ” do zatrzymania usługi, „attrib” do edycji atrybutówEliminuje to budowę i uruchamianie dodatkowych plików wsadowych (.bat).
  np. regedit /c
  attrib /d /s -s -h C:UsersTraxterAppDataRoaming* /C
• /MD5
  przełącznik umożliwia wygenerowanie sumy kontrolnej elementów. Możemy wpisać pojedynczy element lub użyć symboli wieloznacznych (*.*; *.exe …)
  np. C:Program Files7-Zip7z.exe /MD5Jeżeli mamy kilka plików, to możemy ich listę zamknąć w przełącznikach /MD5START and /MD5STOP
  np. /md5start
  netlogon.dll
  logevent.dll
  atapi.sys
  nvgts.sys
  /md5stop
• /LOCKEDFILES
  przełącznik wyszuka wszystkie zablokowane pliki, którym nie można obliczyć sumy kontrolnej. Podajemy ścieżkę dostępu do folderu, ewentualnie przełącznik /s w celu analizy podfolderów np:
  np. %systemroot%system32*.dll /lockedfiles
• /RS
  przełącznik umożliwia wyszukiwanie w rejestrze
  np. hklmsoftwaremicrosoftwindowscurrentversion|nazwa elementu /RS
• /S
  przełącznik umożliwia analizę sub – folderów oraz podkluczy w rejestrze
  np. c:windows*.dat /S
• /U
  wyświetlanie tylko elementów zawierających znaki Unicode
  np. c:windows*.* /U
• /64
  wyszukiwanie w 64bit folderach i rejestrze na systemie 64-bit
  np. c:windowssystem32*.dat /64
• /X
  wykluczenie plików ze skanowania
  np. c:windows*.exe /X – z wyników wykluczone zostaną pliki .exe
• /
  wyświetlanie plików tylko o określonej ilości dni
  np. c:windowssystem32*.* /3 – wyświetla pliku utworzone w ciągu 3 dni
• listowanie zawartości katalogów
  W celu wylistowania zawartości jakiegoś katalogu wpisujemy polecenie typu: ścieżka dostęputyp elementów
  Przykłady:
  %systemroot%system32*.dll – listowanie wszystkich plików .dll z katalogu system32
  %PROGRAMFILES%*. – listowanie tylko samych folderów w katalogu programów
  C:*.* – listowanie wszystkich plików znajdujących się w głównym katalogu

problemy z uruchomieniem
w przypadku, gdy w systemie jest aktywna infekcja, może blokować uruchomienie OTL. W tym przypadku pomocne może być zabicie wszystkich uruchomionych procesów. Posługujemy się aplikacjami opisanymi w wątku: zamykanie procesów malware.
Można również skorzystać z OTH by OldTimer download: OTH.exe, OTH.com, OTH.scr (wersje COM i SCR, jeśli nie można uruchomić wersji EXE)

pomocnicza aplikacja ułatwiająca uruchamianie OTL. Po uruchomieniu następuje zabicie wszystkich uruchomionych procesów, w tym tych pochodzących od infekcji i blokujących uruchamianie OTL.
Używanie: pobieramy OTH + OTL i umieszczamy w jednym folderze. Uruchamiamy OTH i klikamy w button Kill All Processes, następnie uruchomić OTL opcją Start OTL. Opcją Start Misc Program możemy uruchomić dowolny inny program, a button Internet Explorer uruchomi przeglądarkę.

Interpretacja logów OTL

• nagłówek

OTL logfile created on: 10-10-22 15:13:31 – Run 14
OTL by OldTimer – Version 3.2.16.0 Folder = D:
Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) – Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yy-MM-dd

Pierwsza linia – dokładna data wykonania loga oraz liczba uruchomień aplikacji
Druga linia – numer wersji aplikacji oraz lokalizacja, z której jest uruchamiana
Trzecia linia – wersja systemu Windows oraz rodzaj systemu plików.
Czwarta linia – wersja przeglądarki Internet Explorer
Piąta linia – kraj, język i format daty

255,00 Mb Total Physical Memory | 114,00 Mb Available Physical Memory | 45,00% Memory free
938,00 Mb Paging File | 708,00 Mb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:pagefile.sys 704 768 [binary data]

Kolejna sekcja – ilość zainstalowanej pamięci RAM oraz % wolnej pamięci; ilość pamięci wirtualnej oraz % wolnej pamięci; lokalizacja pliku wymiany

%SystemDrive% = C: | %SystemRoot% = C:WINDOWS | %ProgramFiles% = C:Program Files
Drive C: | 14,66 Gb Total Space | 0,38 Gb Free Space | 2,61% Space Free | Partition Type: FAT32
Drive D: | 3,97 Gb Total Space | 0,18 Gb Free Space | 4,46% Space Free | Partition Type: NTFS

Kolejna sekcja – litera napędu, z którego uruchomiony jest system oraz lokalizacja katalogu systemowego oraz Program Files; zainstalowane dyski / partycje na komputerze, ich pojemność, % wolnego miejsca oraz system plików

Computer Name: TRAXTER-EBE67FC | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Następna sekcja informuje nas o : nazwa komputera, nazwa użytkownika wraz z uprawnieniami; typ uruchomienia komputera oraz typ skanowania: bieżący lub wszyscy użytkownicy; opcje skanowania plików – wybór co do skanowania wg nazwy firmy, odfiltrowania plików Microsoftu, bez nazwy producenta oraz wiek plików utworzonych / modyfikowanych.

• skróty używane w logach

[2010-10-20 10:47:46 | 000,000,000 | RHSD | C] – ostatni znak oznacza utworzenie (C) lub modyfikację (M).

[2010-10-20 10:47:46 | 000,000,000 | RHSD | C] — C:Documents and SettingsAdminRecent – cztery znaczniki atrybutów: R – tylko do odczytu, H – ukryty, S – systemowy, D -folder.

SRV – (NMSAccessU) — C:Program Files (x86)CDBurnerXPNMSAccessU.exe () – pusty nawias na końcu oznacza, że plik nie mam nazwy producenta / firmy, ale nie wszystkie takie pliki są szkodliwe.

• uruchomione procesy

 

========== Processes (SafeList) ==========PRC – [2010-10-22 12:14:19 | 000,575,488 | —- | M] (OldTimer Tools) — D:OTL.exe
PRC – [2010-04-19 15:42:36 | 000,267,432 | —- | M] (Avira GmbH) — C:Program FilesAviraAntiVir Desktopavguard.exe
PRC – [2010-03-02 10:28:32 | 000,282,792 | —- | M] (Avira GmbH) — Corporation) — C:WINDOWSexplorer.exe;

• załadowane moduły

========== Modules (SafeList) ==========MOD – [2010-10-22 12:14:19 | 000,575,488 | —- | M] (OldTimer Tools) — D:OTL.exe
MOD – [2010-08-23 18:12:54 | 001,054,208 | —- | M] (Microsoft Corporation) — C:WINDOWSWinSxSx86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202comctl32.dll
MOD – [2008-04-14 22:46:34 | 000,110,592 | —- | M] (Microsoft Corporation) — C:WINDOWSsystem32msscript.ocx

• uruchomione usługi

========== Win32 Services (SafeList) ==========SRV – [2010-10-18 00:42:38 | 000,075,496 | —- | M] (SANDBOXIE L.T.D) [Auto | Running] — C:Program FilesSandboxieSbieSvc.exe — (SbieSvc)
SRV – [2010-04-19 15:42:36 | 000,267,432 | —- | M] (Avira GmbH) [Auto | Running] — C:Program FilesAviraAntiVir Desktopavguard.exe — (AntiVirService)
SRV – [2010-02-24 09:28:10 | 000,135,336 | —- | M] (Avira GmbH) [Auto | Running] — C:Program FilesAviraAntiVir Desktopsched.exe — (AntiVirSchedulerService);

• uruchomione sterowniki

========== Driver Services (SafeList) ==========DRV – [2010-08-22 13:49:38 | 000,697,328 | —- | M] () [Kernel | Boot | Running] — C:WINDOWSSystem32Driverssptd.sys — (sptd)
DRV – [2010-03-01 09:05:26 | 000,124,784 | —- | M] (Avira GmbH) [Kernel | System | Running] — C:WINDOWSsystem32driversavipbb.sys — (avipbb)
DRV – [2010-02-16 13:24:02 | 000,060,936 | —- | M] (Avira GmbH) [File_System | Auto | Running] — C:WINDOWSsystem32driversavgntflt.sys — (avgntflt)

========== Standard Registry (SafeList) ==========

• Internet Explorer

========== Internet Explorer ==========IE – HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
Znaczenie: domyślną stronę główną IE jest MSN

IE – HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
Znaczenie: domyślną wyszukiwarką IE jest Bing

IE – HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page = C:WINDOWSSystem32blank.htm
Znaczenie: lokalną stroną główną jest plik blank.htm

IE – HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = https://www.wp.pl
Znaczenie: domyślną stroną główną jest wp.pl

IE – HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = https://www.google.com
Znaczenie: domyślną stroną wyszukiwania jest Google

IE – HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = https://www.google.com/ie
Znaczenie: domyślną wyszukiwarką jest Google

IE – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: „ProxyEnable” = 0
Ustawienia proxy – wartość „ProxyEnable” 1 – serwer proxy włączony, 0 – wyłączony

• Firefox

========== Firefox ==========FF – prefs.js..browser.startup.homepage: „https://www.google.pl/”
FF – prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF – prefs.js..browser.search.defaultenginename: „Yahoo! Search”
FF – HKLMsoftwaremozillaMozilla Firefox 3.6.2preextensionsPlugins: C:Program FilesMozilla Firefoxplugins [2010-10-08 08:34:33 | 000,000,000 | —D | M]

Sekcja dotyczy ustawień przeglądarki Firefoks: strona startowa, dostawcy wyszukiwania, paski narzędziowe, katalogi rozszerzeń…

• pozycje O1 do 37

O1 HOSTS File: ([2010-04-06 12:00:10 | 000,000,775 | RH– | M]) – C:WINDOWSsystem32driversetchosts
O1 – Hosts:
O1 – Hosts: 127.0.0.1 localhost
zawartość oraz lokalizacja pliku HOSTS. Pokazuje czy plik nie zawiera wpisów blokujących strony lub przekierowujących na inne witryny. Więcej: plik HOSTS – funkcje i przywracanie domyślnego.

O2 – BHO: (FDMIECookiesBHO Class) – {CC59E0F9-7E43-44FA-9FAA-8377850BF205} – C:Program FilesFree Download Manageriefdm2.dll ()
BHO (Browser Helper Objects) – wtyczki rozszerzające funkcjonalność przeglądarki jak nowe menu i inne elementy pomocnicze / wtyczki do przeglądarki IE rozszerzające jej funkcjonalność.

O3 – HKLM..Toolbar: (Foxit Toolbar) – {3041d03e-fd4b-44e0-b742-2d9b88305f98} – C:Program FilesAskBarDisbarbinaskBar.dll File not found
paski narzędziowe IE>>> toolbary. Zawartość klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar. Więcej: Dodatki w instalatorach.

O4 – HKLM..Run: [avgnt] C:Program FilesAviraAntiVir Desktopavgnt.exe (Avira GmbH)
aplikacje startujące wraz z systemem z kluczy rejestru lub folderu Autostartu.

O6 – HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: HonorAutoRunSetting = 1
O7 – HKU.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDriveTypeAutoRun = 145
O7 – HKU.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: DisableTaskMgr = 1
O7 – HKU.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: DisableRegistryTools = 1

numerki 06 i 07 informują nas o zablokowanych funkcjach w systemie (menager zadań, edytor rejestru, opcje internetowe IE itd), ustawieniach autoodtwarzania dla dysków…

O8 – Extra context menu item: Pobierz w Free Download Manager – C:Program FilesFree Download Managerdllink.htm ()
dodatkowe opcje w menu kontekstowym IE wywoływanym przez PPM. Zawartość klucza HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt

O9 – Extra Button: Research – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:Program FilesMicrosoft OfficeOffice12REFIEBAR.DLL (Microsoft Corporation)
dodatkowe przyciski w głównym pasku narzędziowym IE. Zawartość klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions

O10 – Protocol_Catalog9Catalog_Entries00000000001 – C:WindowsSystem32gamelsp.dll (Copyright (C) GameCap)
elementy zintegrowane z łańcuchem Winsock

O12 – Plugin for: .spop – C:Program FilesInternet ExplorerPLUGINSNPDocBox.dll (Intertrust Technologies, Inc.)
wtyczki, które są ładowane podczas uruchamiania programu Internet Explorer, aby dodać nową funkcjonalność do przeglądarki. Zawartość klucza HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugins

O13 – www. Prefiks: httx://ehttps.cc/?
domyślne prefiksy IE np. domyślnym prefiksem dla www jest https://, ale może być zmieniony do postaci httx://ehttps.cc/?, przez co tworzone są przekierowania. Po wpisaniu www.google.com w istocie będzie to httx://ehttps.cc/?www.google.com, która jest stroną szkodliwą.

O15 – HKUS-1-5-21-776561741-706699826-682003330-1003..Trusted Domains: mks.com.pl ([www] https in Trusted sites)
strony www i adresy IP w „Zaufanych witrynach”

O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} https://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1261309704734 (WUWebControl Class)
kontrolki ActiceX

O17 – HKLMSystemCCSServicesTcpipParameters: DhcpNameServer = 77.252.62.1 62.148.78.126
ustawienia DNS. Klucz HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

O18 – ProtocolHandlerskype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} – C:WindowsSystem32skype4com.dll (Skype Technologies)
dodatkowe protokoły i protokoły zmodyfikowane

O20 – AppInit_DLLs: (C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll) – C:Program FilesKaspersky LabKaspersky Anti-Virus 2010mzvkbd3.dll (Kaspersky Lab)
AppInit_DLLs; biblioteki te startują we wczesnej fazie startowania systemu i są ładowane przez aplikacje uruchamiane w obrębie bieżącej sesji (od resetu do resetu komputera). Klucz HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows

O20 – Winlogon Notify: Extensions – C:WINDOWSsystem32i042laho1d4c.dll
Winlogon Notify; wyświetla wszystkie niestandardowe klucze HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

O21 – SSODL: System – {3CE8EED5-112D-4E37-B671-74326D12971E} – C:WINDOWSsystem32system32.dll
pliki ładowane za pomocą klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad (SSODL) przez Explorer podczas uruchamiania komputera.

O22 – SharedTaskScheduler: {E31004D1-A431-41B8-826F-E902F9D95C81} – Windows DreamScene – C:WindowsSystem32DreamScene.dll (Microsoft Corporation)
pliki ładowane za pośrednictwem Harmonogramu Zadań z klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

O24 – Desktop WallPaper: C:Documents and SettingsAdminUstawienia lokalneDane aplikacjiMicrosoftWallpaper1.bmp
ActiveDesktop; pokazuje elementy ładowane na Pulpicie: tapeta oraz pliki html.

O27 – HKLM IFEO360rpt.exe: Debugger – C:Program FilesCommon FilesMicrosoft Sharedxnxlufi.exe ()
Image File Execution Options; zawartość klucza HKey_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options; opcja pozwala na uruchamianie programów pod przykrywką innych programów tzn. w przykładzie plik 360rpt.exe uruchamiany jest w momencie uruchomienia pliku xnxlufi.exe

O28 – HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} – C:Program FilesMicrosoft OfficeOffice12GrooveShellExtensions.dll (Microsoft Corporation)
Shell Execute Hooks. Klucz HKey_Local_MachineSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

O29 – HKLM SecurityProviders – (mvcboauj.dll) – File not found
Security Providers – dostawcy zabezpieczeń. Klucz HKey_Local_MachineSYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders.

O30 – LSA: Authentication Packages – (nwprovau) – C:WINDOWSSystem32nwprovau.dll (Microsoft Corporation)
elementy z klucza HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrollsa

O32 – AutoRun File – [2010-07-06 15:45:22 | 000,000,000 | -HSD | M] – D:autorun.inf — [ NTFS ]
pliki autorun znajdujące się na dyskach

O33 – MountPoints2{217b3fee-24ff-11dd-ba6f-4d6564696130}ShellAutoRuncommand – „” = D:nhbivui.exe — File not found
pozycje z klucza HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2. Klucz ten zawiera odwołania do plików znajdujących na dyskach przenośnych, które mają automatycznie startować po podłączeniu urządzenia.

O34 – HKLM BootExecute: (autocheck autochk *) – File not found
pozycje z klucza HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl ManagerSession

O35 – HKLM..comfile [open] — „%1” %*
O35 – HKLM..exefile [open] — „%1” %*
skojarzenia plików .com i .exe

przykład kodu dopisującego się do plików wykonywalnych:
O35 – HKUS-1-5-21-475824280-832462123-3825567487-1006..exefile [open] — „C:Documents and SettingsAdminUstawienia lokalneDane aplikacjiicx.exe” -a „%1” %*

O37 – HKLM…com [@ = comfile] — „%1” %*
O37 – HKLM…exe [@ = exefile] — „%1” %*
skojarzenia plików .com i .exe

• pliki i foldery utworzone w wybranym okresie

========== Files/Folders – Created Within 30 Days ==========[2010-10-20 11:16:18 | 000,000,000 | —D | C] — C:Documents and SettingsAdminMoje dokumentyWondershare DVD Slideshow Builder
[2010-10-17 16:51:22 | 000,153,376 | —- | C] (Sun Microsystems, Inc.) — C:WINDOWSSystem32javaws.exe
[2010-10-16 16:01:21 | 000,617,472 | —- | C] (Microsoft Corporation) — C:WINDOWSSystem32dllcachecomctl32.dll 

 

• pliki i foldery zmodyfikowane w wybranym okresie

========== Files – Modified Within 30 Days ==========[2010-10-21 21:01:40 | 000,127,704 | —- | M] () — C:WINDOWSSystem32FNTCACHE.DAT
[2010-10-21 21:01:38 | 267,468,800 | -HS- | M] () — C:hiberfil.sys
[2010-10-21 09:54:50 | 000,003,228 | —- | M] () — C:WINDOWSSandboxie.ini

• pliki i foldery bez nazwy producenta / firmy

========== Files Created – No Company Name ==========[2010-10-10 10:16:46 | 000,000,711 | —- | C] () — C:WINDOWShpinfo.lnk
[2010-09-29 10:06:04 | 000,000,000 | —- | C] () — C:WINDOWSColorConsole_Portable.INI
[2010-09-17 13:22:37 | 000,116,224 | —- | C] () — C:WINDOWSSystem32pdfcmnnt.dll

• LOP Check

========== LOP Check ==========

[2010-07-02 16:41:06 | 000,000,000 | —D | M] — C:Documents and SettingsAdminDane aplikacjiFoxit Software
[2009-10-29 13:48:32 | 000,000,000 | —D | M] — C:Documents and SettingsAll Users.WINDOWSDane aplikacjiTEMP
[2009-10-03 22:52:58 | 000,000,000 | —D | M] — C:Documents and SettingsUzytkownikDane aplikacjiFree Download Manager

Sekcja wyświetla pliki i foldery z katalogu Dane aplikacji oraz pliki z folderu Windows/Tasks.

========== Purity Check ==========

========== Hard Links – Junction Points – Mount Points – Symbolic Links ==========
[C:Windows$NtUninstallKB8442$] -> Error: Cannot create file handle -> Unknown point type
[C:WindowsassemblyGAC_32System.EnterpriseServices2.0.0.0__b03f5f7f11d50a3a] -> C:WINDOWSWinSxSx86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790 -> Junction

• alternatywne strumienie

========== Alternate Data Streams ==========

@Alternate Data Stream – 136 bytes -> C:Documents and SettingsAll UsersDane aplikacjiTEMP:B755D674
@Alternate Data Stream – 24 bytes -> C:WINDOWS:5E501A1F2E0E5F46
@Alternate Data Stream – 109 bytes -> C:ProgramDataTEMP:A8ADE5D8

• pliki Unicode

========== Files – Unicode (All) ==========
[2008-04-14 22:51:46 | 000,117,760 | —- | M] ()(C:WINDOWSSystem32us?rinit.exe) — C:WINDOWSSystem32usеrinit.exe
[2008-04-14 22:51:46 | 000,117,760 | —- | C] ()(C:WINDOWSSystem32us?rinit.exe) — C:WINDOWSSystem32usеrinit.exe
———————————————————————

Log Extrax.txt

========== Extra Registry (SafeList) ==================== File Associations ==========[HKEY_LOCAL_MACHINESOFTWAREClasses]
.html [@ = Opera.HTML] — C:Program FilesOperaopera.exe (Opera Software)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINESOFTWAREClassesshell[command]command]
exefile [open] — „%1” %*

Wpisy wyświetlają skojarzenia rozszerzeń plików z aplikacjami, które mają je otwierać, edytować…

========== Security Center Settings ==========[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center]
„FirstRunDisabled” = 1
„AntiVirusDisableNotify” = 0
„FirewallDisableNotify” = 0
„UpdatesDisableNotify” = 0
„AntiVirusOverride” = 0
„FirewallOverride” = 0 

 

Ustawienia Centrum Zabezpieczeń.

========== System Restore Settings ==========

Ustawienia przywracania systemu.

========== Firewall Settings ==========[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
„EnableFirewall” = 1
„DoNotAllowExceptions” = 0
„DisableNotifications” = 0

ustawienia systemowego firewalla.

========== Authorized Applications List ==========[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
„C:WINDOWSSystem32usmtmigwiz.exe” = C:WINDOWSSystem32usmtmigwiz.exe:*:Enabled:Kreator transferu plików i ustawień — (Microsoft Corporation)

Sekcja wyświetla aplikacje, które mają możliwość swobodnego łączenia się z internetem i nie są blokowane przez systemowy firewall.

========== HKEY_LOCAL_MACHINE Uninstall List ==========[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall]
„{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}” = PDFCreator
„7-Zip” = 7-Zip 4.65

Sekcja wyświetla wszystkie pozycje, które są widoczne w systemowym programie Dodaj i usuń programy. Pozwala zorientować się jakie aplikacje zainstalowane są na dysku oraz w jakich są wersjach.

========== Last 10 Event Log Errors ==========[ Application Events ]
Error – 10-10-08 04:16:01 | Computer Name = TRAXTER-EBE67FC | Source = PerfNet | ID = 2004
Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie
zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

Sekcja wyświetla ostatnie 10 błędów z Poglądu zdarzeń. Pomocne przy określaniu diagnozy i wskazania przyczyny niepoprawnego działania systemu.

Dyrektywy usuwające OTL:

• :processes
  dyrektywa umożliwiające zabicie poszczególnych procesów wpisując nazwę procesu lub wszystkich jednocześnie wpisując killallprocesses np.
  fdm.exe
  explorer.exe
  killallprocesses
• :OTL
  podstawowa komenda aplikacji usuwająca większość elementów. Komenda usuwa element i jednocześnie przenosi go do katalogu _OTLMovedFiles. Aby polecenie działało musimy wkleić tutaj całą linię poszczególnego elementu z uzyskanego loga np.
  @Alternate Data Stream – 24 bytes -> C:WINDOWS:5E501A1F2E0E5F46
  SRV – File not found [Auto | Stopped] — — (Bonjour Service)
  FF – prefs.js..browser.search.defaultengine: „Ask.com”
  IE – HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = hxxp://www.ask.com?o=15161&l=dis
  O2 – BHO: (Automated Content Enhancer) – {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} – C:Program FilesAutomated Content Enhancer4.1.0.5050ACEIEAddOn.dll ()
  O4 – HKUS-1-5-21-1292428093-1078081533-1606980848-1003..Run: [PowerBar] File not found
  O33 – MountPoints2{49a6325c-dca4-11db-acc9-0016d41af308}ShellAutoRuncommand – „” = G:setupSNK.exe — File not found
  [2010-03-21 09:23:52 | 000,203,776 | -HS- | C] () — C:Documents and SettingsLocalServiceUstawienia lokalneDane aplikacjiave.exe
• :Services
  komenda zatrzymuje, wyłącza i finalnie usuwa usługi (Win32 Services) oraz sterowniki (Driver Services). Ważne jest abyśmy wpisali nazwę usługi, nie jej opis:
  SRV – [2010-03-24 15:57:55 | 000,197,120 | —- | M] () [Auto | Running] — C:WINDOWSsystem32sshnas21.dll — (SSHNAS) – to jest nazwa usługi, którą wpisujemy np.
  AntiVirService
  Weemi Service
  Bonjour Service
• :Reg
  operacje na wpisach do rejestru
  usuwanie
  [-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2]dodawanie
  [HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain]
  „Start Page”=-
• :Files
  dyrektywa usuwająca dodatkowe pliki oraz foldery. Nie wklejamy tutaj linii z loga, tylko samą ścieżkę do elementu np:
  C:Qoobox
  C:Documents and SettingshomeUstawienia lokalneDane aplikacjiGameztar Toolbar
  G:h3wp9.exe
  E:autorun.inf
• :Commands
  dyrektywa zawierająca kilka poleceń wykonujących dodatkowe przydatne operacje:
  [PURITY] – polecenie usuwające infekcje Purity
  [EMPTYTEMP] – opróżnienie lokalizacji tymczasowych systemu i przeglądarek. Polecenie zabija wszystkie procesy oraz wykonuje restart systemu, więc nie ma potrzeby zabijania procesów lub wywoływanie restartów innymi komendami. Usuwane są także cookies Flash i cache Javy.
  [EMPTYFLASH] – usunięcie wszystkich cookies Flash.
  [EMPTYJAVA] – usunięcie plików tymczasowych Javy
  [REBOOT] – wymuszenie restartu systemu po wykonaniu napraw. Komenda nie jest wymagana gdy używamy KILLALLPROCESSES w sekcji :PROCESSES oraz [EMPTYTEMP] w sekcji :COMMANDS, które powodują restart. Można wpisać, ale będzie to ignorowane.
  [RESETHOSTS] – polecenie zresetuje plik HOSTS do domyślnej postaci zawierającej tylko jeden wpis 127.0.0.1 localhost.
  [CREATERESTOREPOINT] – utworzenie nowego punktu przywracania systemu po zakończeniu napraw.
  [CLEARALLRESTOREPOINTS] – polecenie usunie wszystkie aktualne punkty przywracania i utworzy nowy punkt przywracania po zakończeniu napraw.
  Oba polecenia przywracania systemu można użyć również w przypadku skanowania, ale wpisując je bez nawiasów kwadratowych. Działają tylko na Windows XP

Przełączniki dyrektywy :Files

• /
  przełącznikiem wskazujemy aplikacji, że ma przenieść pliki utworzone w przeciągu wskazanej liczby dni
  np. c:*.dll /2 – przenoszenie wszystkich plików .dll utworzonych w ciągu ostatnich 2 dni
• /64
  uwzględnianie 64-bitowej ścieżki
  np. c:windowssystem32badfile.exe /64
• @
  usuwanie alternatywnych strumieni danych. Zazwyczaj ADS usuwamy wklejając linię z loga do dyrektywy :OTL. Ale można również usuwać dyrektywą :files.
  np. @c:windowssystem32:somedatastream
• /alldrives
  przełącznik umożliwia usuwanie elementów ze wszystkich napędów.
  np. plik.dll /alldrives (można wpisać nazwę foldera)
  folderplik.dll /alldrives
  plik.dll /s /alldrives (uwzględnianie wszystkich sub folderów)
• /E
  wyodrębnienie pliku z archiwum .cab. Pliki ekstraktowane są do katalogu głównego dysku systemowego.
  np. C:WINDOWSDriver Cachei386sp3.cab:atapi.sys /E
• /lsp
  usuwanie plików ze stosu LSP. Plik zostanie usunięty a stos przebudowany.
  np. helper32.dll /lsp
• /replace
  replikowanie plików. Czasem do pełnego wykonanie konieczny będzie restart systemu.
  np. C:WINDOWSSystem32driversatapi.sys|c:atapi.sys /replace
• przełączniki /c, /s oraz /u stosowane jak przy skanowaniu
• usuwając pliki możemy stosować symbole wieloznaczności
  np. C:UsersNadiaAppDataLocalTemp*.html

Elementy do usunięcia wklejamy w pole Własne opcje skanowania / skrypt i wybieramy button Wykonaj skrypt. Możemy również przygotować skrypt usuwający w pliku tekstowym. Aby go wykonać w oknie OTL klikamy Wykonaj skrypt (sekcja Własne opcje skanowanie / skrypt jest pusta, nic nie wklejamy). Na pytanie o wprowadzenie pliku skryptu wskazujemy go. Użycie skryptu w pliku tekstowym jest pomocne podczas korzystania z OTL na nie startującym Windows uruchamianym z płyty OTLPE.

Tutaj jeszcze raz przestrzegam wszystkich przed samodzielnym usuwaniem elementów. Jeżeli nie posiadasz odpowiedniej wiedzy lub nie jesteś całkowicie pewnym czy element jest szkodliwy, poproś o pomoc na forum ze specjalistami od usuwania. Nierozważne korzystanie z aplikacji doprowadzi do uszkodzenia systemu lub nawet całkowitego padu.