OTL by OldTimer: interpretacja logów i usuwanie szkodliwych elementów
|OTL tutorial PL
tutorial, opis, instrukcja, jak używać
poniższe instrukcje zostały opracowane na podstawie oficjalnego tutoriala oraz własnej wiedzy i obserwacji. Myślę, że są prawidłowe, lecz nie należy ich uważać jako wyroczni. W interpretacji logów, a zwłaszcza w usuwaniu poszczególnych elementów najważniejsza jest duża wiedza o systemie operacyjnym. Posiadając taką wiedzę patrząc na dowolny raport z każdej aplikacji, która taki generuje, szkodniki same wychodzą na wierzch. Dlatego jeżeli nie posiadasz dostatecznej wiedzy nie zabieraj się samodzielnie za usuwanie elementów, bo możesz narobić więcej szkody niż pożytku.
Generowanie logów i niestandardowe opcje skanowania
Analiza logów OTL: OTL.txt oraz Extras.txt
Usuwanie szkodliwych elementów w OTL
Wykorzystywanie tutoriala na innych stronach bez zgody zabronione. Proszę linkować do tego miejsca.
Po ściągnięciu aplikacji na dysk uruchamiamy go i konfigurujemy. Proponuję konfigurację zalecaną na stronie fixitpc.pl autorstwa Picasso – wszystkie sekcje ustawiamy na Użyj filtrowania (pominięte zostaną zaufane pliki Microsoftu), zaznaczamy również Infekcja LOP i Purity, opcję Wszyscy użytkownicy. Pamiętajmy o zaznaczeniu sekcji Rejestr – skan dodatkowy: utworzony zostanie log Extras.txt. Po skonfigurowaniu wybieramy button Skanuj. Wizualnie wszystko na obrazku (kliknij aby powiększyć):
niestandardowe opcje skanowania
OTL umożliwia wykonanie skanowania z dodatkowymi, własnymi ustawieniami. W tym celu w pole Własne opcje skanowanie / skrypt wpisujemy dodatkowe komendy i klikamy Skanuj:
- netsvcs
wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost – wartość netsvcs - msconfig
wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfig - safebootminimal
wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootMinimal - safebootnetwork
wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsafebootNetwork - activex
wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components - drivers32
wyświetli listę wpisów z klucza HKEY_LOCAL_MACHINEsoftwareMicrosoftWindows NTCurrentVersionDrivers32
Domyślnie wyniki zostaną przefiltrowane i nie wyświetlą znanych, zaufanych elementów. Aby wyświetlić wszystkie elementy, do każdego z podanego wyżej polecenia dodajemy przełącznik /all np. netsvcs /all
Przełączniki:
- /C
przełącznik uruchamia linie komend DOS. Mamy możliwość wpisania komend z wiersza poleceń jak np. „regedit” do uruchamiania edytora rejestru, „set” do wyświetlenia zmiennych środowiskowych, „net stop ” do zatrzymania usługi, „attrib” do edycji atrybutówEliminuje to budowę i uruchamianie dodatkowych plików wsadowych (.bat).
np. regedit /c
attrib /d /s -s -h C:UsersTraxterAppDataRoaming* /C - /MD5
przełącznik umożliwia wygenerowanie sumy kontrolnej elementów. Możemy wpisać pojedynczy element lub użyć symboli wieloznacznych (*.*; *.exe …)
np. C:Program Files7-Zip7z.exe /MD5Jeżeli mamy kilka plików, to możemy ich listę zamknąć w przełącznikach /MD5START and /MD5STOP
np. /md5start
netlogon.dll
logevent.dll
atapi.sys
nvgts.sys
/md5stop - /LOCKEDFILES
przełącznik wyszuka wszystkie zablokowane pliki, którym nie można obliczyć sumy kontrolnej. Podajemy ścieżkę dostępu do folderu, ewentualnie przełącznik /s w celu analizy podfolderów np:
np. %systemroot%system32*.dll /lockedfiles - /RS
przełącznik umożliwia wyszukiwanie w rejestrze
np. hklmsoftwaremicrosoftwindowscurrentversion|nazwa elementu /RS - /S
przełącznik umożliwia analizę sub – folderów oraz podkluczy w rejestrze
np. c:windows*.dat /S - /U
wyświetlanie tylko elementów zawierających znaki Unicode
np. c:windows*.* /U - /64
wyszukiwanie w 64bit folderach i rejestrze na systemie 64-bit
np. c:windowssystem32*.dat /64 - /X
wykluczenie plików ze skanowania
np. c:windows*.exe /X – z wyników wykluczone zostaną pliki .exe - /
wyświetlanie plików tylko o określonej ilości dni
np. c:windowssystem32*.* /3 – wyświetla pliku utworzone w ciągu 3 dni - listowanie zawartości katalogów
W celu wylistowania zawartości jakiegoś katalogu wpisujemy polecenie typu: ścieżka dostęputyp elementów
Przykłady:
%systemroot%system32*.dll – listowanie wszystkich plików .dll z katalogu system32
%PROGRAMFILES%*. – listowanie tylko samych folderów w katalogu programów
C:*.* – listowanie wszystkich plików znajdujących się w głównym katalogu
problemy z uruchomieniem
w przypadku, gdy w systemie jest aktywna infekcja, może blokować uruchomienie OTL. W tym przypadku pomocne może być zabicie wszystkich uruchomionych procesów. Posługujemy się aplikacjami opisanymi w wątku: zamykanie procesów malware.
Można również skorzystać z OTH by OldTimer download: OTH.exe, OTH.com, OTH.scr (wersje COM i SCR, jeśli nie można uruchomić wersji EXE)
pomocnicza aplikacja ułatwiająca uruchamianie OTL. Po uruchomieniu następuje zabicie wszystkich uruchomionych procesów, w tym tych pochodzących od infekcji i blokujących uruchamianie OTL.
Używanie: pobieramy OTH + OTL i umieszczamy w jednym folderze. Uruchamiamy OTH i klikamy w button Kill All Processes, następnie uruchomić OTL opcją Start OTL. Opcją Start Misc Program możemy uruchomić dowolny inny program, a button Internet Explorer uruchomi przeglądarkę.
- nagłówek
OTL logfile created on: 10-10-22 15:13:31 – Run 14
OTL by OldTimer – Version 3.2.16.0 Folder = D:
Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) – Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yy-MM-dd
Pierwsza linia – dokładna data wykonania loga oraz liczba uruchomień aplikacji
Druga linia – numer wersji aplikacji oraz lokalizacja, z której jest uruchamiana
Trzecia linia – wersja systemu Windows oraz rodzaj systemu plików.
Czwarta linia – wersja przeglądarki Internet Explorer
Piąta linia – kraj, język i format daty
255,00 Mb Total Physical Memory | 114,00 Mb Available Physical Memory | 45,00% Memory free
938,00 Mb Paging File | 708,00 Mb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:pagefile.sys 704 768 [binary data]
Kolejna sekcja – ilość zainstalowanej pamięci RAM oraz % wolnej pamięci; ilość pamięci wirtualnej oraz % wolnej pamięci; lokalizacja pliku wymiany
%SystemDrive% = C: | %SystemRoot% = C:WINDOWS | %ProgramFiles% = C:Program Files
Drive C: | 14,66 Gb Total Space | 0,38 Gb Free Space | 2,61% Space Free | Partition Type: FAT32
Drive D: | 3,97 Gb Total Space | 0,18 Gb Free Space | 4,46% Space Free | Partition Type: NTFS
Kolejna sekcja – litera napędu, z którego uruchomiony jest system oraz lokalizacja katalogu systemowego oraz Program Files; zainstalowane dyski / partycje na komputerze, ich pojemność, % wolnego miejsca oraz system plików
Computer Name: TRAXTER-EBE67FC | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Następna sekcja informuje nas o : nazwa komputera, nazwa użytkownika wraz z uprawnieniami; typ uruchomienia komputera oraz typ skanowania: bieżący lub wszyscy użytkownicy; opcje skanowania plików – wybór co do skanowania wg nazwy firmy, odfiltrowania plików Microsoftu, bez nazwy producenta oraz wiek plików utworzonych / modyfikowanych.
- skróty używane w logach
[2010-10-20 10:47:46 | 000,000,000 | RHSD | C] – ostatni znak oznacza utworzenie (C) lub modyfikację (M).
[2010-10-20 10:47:46 | 000,000,000 | RHSD | C] — C:Documents and SettingsAdminRecent – cztery znaczniki atrybutów: R – tylko do odczytu, H – ukryty, S – systemowy, D -folder.
SRV – (NMSAccessU) — C:Program Files (x86)CDBurnerXPNMSAccessU.exe () – pusty nawias na końcu oznacza, że plik nie mam nazwy producenta / firmy, ale nie wszystkie takie pliki są szkodliwe.
- uruchomione procesy
========== Processes (SafeList) ==========PRC – [2010-10-22 12:14:19 | 000,575,488 | —- | M] (OldTimer Tools) — D:OTL.exe
PRC – [2010-04-19 15:42:36 | 000,267,432 | —- | M] (Avira GmbH) — C:Program FilesAviraAntiVir Desktopavguard.exe
PRC – [2010-03-02 10:28:32 | 000,282,792 | —- | M] (Avira GmbH) — Corporation) — C:WINDOWSexplorer.exe;
- załadowane moduły
========== Modules (SafeList) ==========MOD – [2010-10-22 12:14:19 | 000,575,488 | —- | M] (OldTimer Tools) — D:OTL.exe
MOD – [2010-08-23 18:12:54 | 001,054,208 | —- | M] (Microsoft Corporation) — C:WINDOWSWinSxSx86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202comctl32.dll
MOD – [2008-04-14 22:46:34 | 000,110,592 | —- | M] (Microsoft Corporation) — C:WINDOWSsystem32msscript.ocx
- uruchomione usługi
========== Win32 Services (SafeList) ==========SRV – [2010-10-18 00:42:38 | 000,075,496 | —- | M] (SANDBOXIE L.T.D) [Auto | Running] — C:Program FilesSandboxieSbieSvc.exe — (SbieSvc)
SRV – [2010-04-19 15:42:36 | 000,267,432 | —- | M] (Avira GmbH) [Auto | Running] — C:Program FilesAviraAntiVir Desktopavguard.exe — (AntiVirService)
SRV – [2010-02-24 09:28:10 | 000,135,336 | —- | M] (Avira GmbH) [Auto | Running] — C:Program FilesAviraAntiVir Desktopsched.exe — (AntiVirSchedulerService);
- uruchomione sterowniki
========== Driver Services (SafeList) ==========DRV – [2010-08-22 13:49:38 | 000,697,328 | —- | M] () [Kernel | Boot | Running] — C:WINDOWSSystem32Driverssptd.sys — (sptd)
DRV – [2010-03-01 09:05:26 | 000,124,784 | —- | M] (Avira GmbH) [Kernel | System | Running] — C:WINDOWSsystem32driversavipbb.sys — (avipbb)
DRV – [2010-02-16 13:24:02 | 000,060,936 | —- | M] (Avira GmbH) [File_System | Auto | Running] — C:WINDOWSsystem32driversavgntflt.sys — (avgntflt)
========== Standard Registry (SafeList) ==========
- Internet Explorer
========== Internet Explorer ==========IE – HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
Znaczenie: domyślną stronę główną IE jest MSN
IE – HKLMSOFTWAREMicrosoftInternet ExplorerMain,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
Znaczenie: domyślną wyszukiwarką IE jest Bing
IE – HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page = C:WINDOWSSystem32blank.htm
Znaczenie: lokalną stroną główną jest plik blank.htm
IE – HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = https://www.wp.pl
Znaczenie: domyślną stroną główną jest wp.pl
IE – HKCUSOFTWAREMicrosoftInternet ExplorerMain,Search Page = https://www.google.com
Znaczenie: domyślną stroną wyszukiwania jest Google
IE – HKCUSOFTWAREMicrosoftInternet ExplorerSearch,Default_Search_URL = https://www.google.com/ie
Znaczenie: domyślną wyszukiwarką jest Google
IE – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: „ProxyEnable” = 0
Ustawienia proxy – wartość „ProxyEnable” 1 – serwer proxy włączony, 0 – wyłączony
- Firefox
========== Firefox ==========FF – prefs.js..browser.startup.homepage: „https://www.google.pl/”
FF – prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF – prefs.js..browser.search.defaultenginename: „Yahoo! Search”
FF – HKLMsoftwaremozillaMozilla Firefox 3.6.2preextensionsPlugins: C:Program FilesMozilla Firefoxplugins [2010-10-08 08:34:33 | 000,000,000 | —D | M]
Sekcja dotyczy ustawień przeglądarki Firefoks: strona startowa, dostawcy wyszukiwania, paski narzędziowe, katalogi rozszerzeń…
- pozycje O1 do 37
O1 HOSTS File: ([2010-04-06 12:00:10 | 000,000,775 | RH– | M]) – C:WINDOWSsystem32driversetchosts
O1 – Hosts:
O1 – Hosts: 127.0.0.1 localhost
zawartość oraz lokalizacja pliku HOSTS. Pokazuje czy plik nie zawiera wpisów blokujących strony lub przekierowujących na inne witryny. Więcej: plik HOSTS – funkcje i przywracanie domyślnego.
O2 – BHO: (FDMIECookiesBHO Class) – {CC59E0F9-7E43-44FA-9FAA-8377850BF205} – C:Program FilesFree Download Manageriefdm2.dll ()
BHO (Browser Helper Objects) – wtyczki rozszerzające funkcjonalność przeglądarki jak nowe menu i inne elementy pomocnicze / wtyczki do przeglądarki IE rozszerzające jej funkcjonalność.
O3 – HKLM..Toolbar: (Foxit Toolbar) – {3041d03e-fd4b-44e0-b742-2d9b88305f98} – C:Program FilesAskBarDisbarbinaskBar.dll File not found
paski narzędziowe IE>>> toolbary. Zawartość klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar. Więcej: Dodatki w instalatorach.
O4 – HKLM..Run: [avgnt] C:Program FilesAviraAntiVir Desktopavgnt.exe (Avira GmbH)
aplikacje startujące wraz z systemem z kluczy rejestru lub folderu Autostartu.
O6 – HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: HonorAutoRunSetting = 1
O7 – HKU.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDriveTypeAutoRun = 145
O7 – HKU.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: DisableTaskMgr = 1
O7 – HKU.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: DisableRegistryTools = 1
numerki 06 i 07 informują nas o zablokowanych funkcjach w systemie (menager zadań, edytor rejestru, opcje internetowe IE itd), ustawieniach autoodtwarzania dla dysków…
O8 – Extra context menu item: Pobierz w Free Download Manager – C:Program FilesFree Download Managerdllink.htm ()
dodatkowe opcje w menu kontekstowym IE wywoływanym przez PPM. Zawartość klucza HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
O9 – Extra Button: Research – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:Program FilesMicrosoft OfficeOffice12REFIEBAR.DLL (Microsoft Corporation)
dodatkowe przyciski w głównym pasku narzędziowym IE. Zawartość klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions
O10 – Protocol_Catalog9Catalog_Entries00000000001 – C:WindowsSystem32gamelsp.dll (Copyright (C) GameCap)
elementy zintegrowane z łańcuchem Winsock
O12 – Plugin for: .spop – C:Program FilesInternet ExplorerPLUGINSNPDocBox.dll (Intertrust Technologies, Inc.)
wtyczki, które są ładowane podczas uruchamiania programu Internet Explorer, aby dodać nową funkcjonalność do przeglądarki. Zawartość klucza HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugins
O13 – www. Prefiks: httx://ehttps.cc/?
domyślne prefiksy IE np. domyślnym prefiksem dla www jest https://, ale może być zmieniony do postaci httx://ehttps.cc/?, przez co tworzone są przekierowania. Po wpisaniu www.google.com w istocie będzie to httx://ehttps.cc/?www.google.com, która jest stroną szkodliwą.
O15 – HKUS-1-5-21-776561741-706699826-682003330-1003..Trusted Domains: mks.com.pl ([www] https in Trusted sites)
strony www i adresy IP w „Zaufanych witrynach”
O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} https://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1261309704734 (WUWebControl Class)
kontrolki ActiceX
O17 – HKLMSystemCCSServicesTcpipParameters: DhcpNameServer = 77.252.62.1 62.148.78.126
ustawienia DNS. Klucz HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
O18 – ProtocolHandlerskype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} – C:WindowsSystem32skype4com.dll (Skype Technologies)
dodatkowe protokoły i protokoły zmodyfikowane
O20 – AppInit_DLLs: (C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll) – C:Program FilesKaspersky LabKaspersky Anti-Virus 2010mzvkbd3.dll (Kaspersky Lab)
AppInit_DLLs; biblioteki te startują we wczesnej fazie startowania systemu i są ładowane przez aplikacje uruchamiane w obrębie bieżącej sesji (od resetu do resetu komputera). Klucz HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
O20 – Winlogon Notify: Extensions – C:WINDOWSsystem32i042laho1d4c.dll
Winlogon Notify; wyświetla wszystkie niestandardowe klucze HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
O21 – SSODL: System – {3CE8EED5-112D-4E37-B671-74326D12971E} – C:WINDOWSsystem32system32.dll
pliki ładowane za pomocą klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad (SSODL) przez Explorer podczas uruchamiania komputera.
O22 – SharedTaskScheduler: {E31004D1-A431-41B8-826F-E902F9D95C81} – Windows DreamScene – C:WindowsSystem32DreamScene.dll (Microsoft Corporation)
pliki ładowane za pośrednictwem Harmonogramu Zadań z klucza HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
O24 – Desktop WallPaper: C:Documents and SettingsAdminUstawienia lokalneDane aplikacjiMicrosoftWallpaper1.bmp
ActiveDesktop; pokazuje elementy ładowane na Pulpicie: tapeta oraz pliki html.
O27 – HKLM IFEO360rpt.exe: Debugger – C:Program FilesCommon FilesMicrosoft Sharedxnxlufi.exe ()
Image File Execution Options; zawartość klucza HKey_Local_MachineSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options; opcja pozwala na uruchamianie programów pod przykrywką innych programów tzn. w przykładzie plik 360rpt.exe uruchamiany jest w momencie uruchomienia pliku xnxlufi.exe
O28 – HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} – C:Program FilesMicrosoft OfficeOffice12GrooveShellExtensions.dll (Microsoft Corporation)
Shell Execute Hooks. Klucz HKey_Local_MachineSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
O29 – HKLM SecurityProviders – (mvcboauj.dll) – File not found
Security Providers – dostawcy zabezpieczeń. Klucz HKey_Local_MachineSYSTEMCurrentControlSetControlSecurityProvidersSecurityProviders.
O30 – LSA: Authentication Packages – (nwprovau) – C:WINDOWSSystem32nwprovau.dll (Microsoft Corporation)
elementy z klucza HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrollsa
O32 – AutoRun File – [2010-07-06 15:45:22 | 000,000,000 | -HSD | M] – D:autorun.inf — [ NTFS ]
pliki autorun znajdujące się na dyskach
O33 – MountPoints2{217b3fee-24ff-11dd-ba6f-4d6564696130}ShellAutoRuncommand – „” = D:nhbivui.exe — File not found
pozycje z klucza HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2. Klucz ten zawiera odwołania do plików znajdujących na dyskach przenośnych, które mają automatycznie startować po podłączeniu urządzenia.
O34 – HKLM BootExecute: (autocheck autochk *) – File not found
pozycje z klucza HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl ManagerSession
O35 – HKLM..comfile [open] — „%1” %*
O35 – HKLM..exefile [open] — „%1” %*
skojarzenia plików .com i .exe
przykład kodu dopisującego się do plików wykonywalnych:
O35 – HKUS-1-5-21-475824280-832462123-3825567487-1006..exefile [open] — „C:Documents and SettingsAdminUstawienia lokalneDane aplikacjiicx.exe” -a „%1” %*
O37 – HKLM…com [@ = comfile] — „%1” %*
O37 – HKLM…exe [@ = exefile] — „%1” %*
skojarzenia plików .com i .exe
- pliki i foldery utworzone w wybranym okresie
========== Files/Folders – Created Within 30 Days ==========[2010-10-20 11:16:18 | 000,000,000 | —D | C] — C:Documents and SettingsAdminMoje dokumentyWondershare DVD Slideshow Builder
[2010-10-17 16:51:22 | 000,153,376 | —- | C] (Sun Microsystems, Inc.) — C:WINDOWSSystem32javaws.exe
[2010-10-16 16:01:21 | 000,617,472 | —- | C] (Microsoft Corporation) — C:WINDOWSSystem32dllcachecomctl32.dll
- pliki i foldery zmodyfikowane w wybranym okresie
========== Files – Modified Within 30 Days ==========[2010-10-21 21:01:40 | 000,127,704 | —- | M] () — C:WINDOWSSystem32FNTCACHE.DAT
[2010-10-21 21:01:38 | 267,468,800 | -HS- | M] () — C:hiberfil.sys
[2010-10-21 09:54:50 | 000,003,228 | —- | M] () — C:WINDOWSSandboxie.ini
- pliki i foldery bez nazwy producenta / firmy
========== Files Created – No Company Name ==========[2010-10-10 10:16:46 | 000,000,711 | —- | C] () — C:WINDOWShpinfo.lnk
[2010-09-29 10:06:04 | 000,000,000 | —- | C] () — C:WINDOWSColorConsole_Portable.INI
[2010-09-17 13:22:37 | 000,116,224 | —- | C] () — C:WINDOWSSystem32pdfcmnnt.dll
- LOP Check
========== LOP Check ==========
[2010-07-02 16:41:06 | 000,000,000 | —D | M] — C:Documents and SettingsAdminDane aplikacjiFoxit Software
[2009-10-29 13:48:32 | 000,000,000 | —D | M] — C:Documents and SettingsAll Users.WINDOWSDane aplikacjiTEMP
[2009-10-03 22:52:58 | 000,000,000 | —D | M] — C:Documents and SettingsUzytkownikDane aplikacjiFree Download Manager
Sekcja wyświetla pliki i foldery z katalogu Dane aplikacji oraz pliki z folderu Windows/Tasks.
========== Purity Check ==========
========== Hard Links – Junction Points – Mount Points – Symbolic Links ==========
[C:Windows$NtUninstallKB8442$] -> Error: Cannot create file handle -> Unknown point type
[C:WindowsassemblyGAC_32System.EnterpriseServices2.0.0.0__b03f5f7f11d50a3a] -> C:WINDOWSWinSxSx86_System.EnterpriseServices_b03f5f7f11d50a3a_2.0.0.0_x-ww_7d5f3790 -> Junction
- alternatywne strumienie
========== Alternate Data Streams ==========
@Alternate Data Stream – 136 bytes -> C:Documents and SettingsAll UsersDane aplikacjiTEMP:B755D674
@Alternate Data Stream – 24 bytes -> C:WINDOWS:5E501A1F2E0E5F46
@Alternate Data Stream – 109 bytes -> C:ProgramDataTEMP:A8ADE5D8
- pliki Unicode
========== Files – Unicode (All) ==========
[2008-04-14 22:51:46 | 000,117,760 | —- | M] ()(C:WINDOWSSystem32us?rinit.exe) — C:WINDOWSSystem32usеrinit.exe
[2008-04-14 22:51:46 | 000,117,760 | —- | C] ()(C:WINDOWSSystem32us?rinit.exe) — C:WINDOWSSystem32usеrinit.exe
———————————————————————
Log Extrax.txt
========== Extra Registry (SafeList) ==================== File Associations ==========[HKEY_LOCAL_MACHINESOFTWAREClasses]
.html [@ = Opera.HTML] — C:Program FilesOperaopera.exe (Opera Software)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINESOFTWAREClassesshell[command]command]
exefile [open] — „%1” %*
Wpisy wyświetlają skojarzenia rozszerzeń plików z aplikacjami, które mają je otwierać, edytować…
========== Security Center Settings ==========[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center]
„FirstRunDisabled” = 1
„AntiVirusDisableNotify” = 0
„FirewallDisableNotify” = 0
„UpdatesDisableNotify” = 0
„AntiVirusOverride” = 0
„FirewallOverride” = 0
Ustawienia Centrum Zabezpieczeń.
========== System Restore Settings ==========
Ustawienia przywracania systemu.
========== Firewall Settings ==========[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
„EnableFirewall” = 1
„DoNotAllowExceptions” = 0
„DisableNotifications” = 0
ustawienia systemowego firewalla.
========== Authorized Applications List ==========[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
„C:WINDOWSSystem32usmtmigwiz.exe” = C:WINDOWSSystem32usmtmigwiz.exe:*:Enabled:Kreator transferu plików i ustawień — (Microsoft Corporation)
Sekcja wyświetla aplikacje, które mają możliwość swobodnego łączenia się z internetem i nie są blokowane przez systemowy firewall.
========== HKEY_LOCAL_MACHINE Uninstall List ==========[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall]
„{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}” = PDFCreator
„7-Zip” = 7-Zip 4.65
Sekcja wyświetla wszystkie pozycje, które są widoczne w systemowym programie Dodaj i usuń programy. Pozwala zorientować się jakie aplikacje zainstalowane są na dysku oraz w jakich są wersjach.
========== Last 10 Event Log Errors ==========[ Application Events ]
Error – 10-10-08 04:16:01 | Computer Name = TRAXTER-EBE67FC | Source = PerfNet | ID = 2004
Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie
zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.
Sekcja wyświetla ostatnie 10 błędów z Poglądu zdarzeń. Pomocne przy określaniu diagnozy i wskazania przyczyny niepoprawnego działania systemu.
- :processes
dyrektywa umożliwiające zabicie poszczególnych procesów wpisując nazwę procesu lub wszystkich jednocześnie wpisując killallprocesses np.
fdm.exe
explorer.exe
killallprocesses - :OTL
podstawowa komenda aplikacji usuwająca większość elementów. Komenda usuwa element i jednocześnie przenosi go do katalogu _OTLMovedFiles. Aby polecenie działało musimy wkleić tutaj całą linię poszczególnego elementu z uzyskanego loga np.
@Alternate Data Stream – 24 bytes -> C:WINDOWS:5E501A1F2E0E5F46
SRV – File not found [Auto | Stopped] — — (Bonjour Service)
FF – prefs.js..browser.search.defaultengine: „Ask.com”
IE – HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = hxxp://www.ask.com?o=15161&l=dis
O2 – BHO: (Automated Content Enhancer) – {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} – C:Program FilesAutomated Content Enhancer4.1.0.5050ACEIEAddOn.dll ()
O4 – HKUS-1-5-21-1292428093-1078081533-1606980848-1003..Run: [PowerBar] File not found
O33 – MountPoints2{49a6325c-dca4-11db-acc9-0016d41af308}ShellAutoRuncommand – „” = G:setupSNK.exe — File not found
[2010-03-21 09:23:52 | 000,203,776 | -HS- | C] () — C:Documents and SettingsLocalServiceUstawienia lokalneDane aplikacjiave.exe - :Services
komenda zatrzymuje, wyłącza i finalnie usuwa usługi (Win32 Services) oraz sterowniki (Driver Services). Ważne jest abyśmy wpisali nazwę usługi, nie jej opis:
SRV – [2010-03-24 15:57:55 | 000,197,120 | —- | M] () [Auto | Running] — C:WINDOWSsystem32sshnas21.dll — (SSHNAS) – to jest nazwa usługi, którą wpisujemy np.
AntiVirService
Weemi Service
Bonjour Service - :Reg
operacje na wpisach do rejestru
usuwanie
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2]dodawanie
[HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain]
„Start Page”=- - :Files
dyrektywa usuwająca dodatkowe pliki oraz foldery. Nie wklejamy tutaj linii z loga, tylko samą ścieżkę do elementu np:
C:Qoobox
C:Documents and SettingshomeUstawienia lokalneDane aplikacjiGameztar Toolbar
G:h3wp9.exe
E:autorun.inf - :Commands
dyrektywa zawierająca kilka poleceń wykonujących dodatkowe przydatne operacje:
[PURITY] – polecenie usuwające infekcje Purity
[EMPTYTEMP] – opróżnienie lokalizacji tymczasowych systemu i przeglądarek. Polecenie zabija wszystkie procesy oraz wykonuje restart systemu, więc nie ma potrzeby zabijania procesów lub wywoływanie restartów innymi komendami. Usuwane są także cookies Flash i cache Javy.
[EMPTYFLASH] – usunięcie wszystkich cookies Flash.
[EMPTYJAVA] – usunięcie plików tymczasowych Javy
[REBOOT] – wymuszenie restartu systemu po wykonaniu napraw. Komenda nie jest wymagana gdy używamy KILLALLPROCESSES w sekcji :PROCESSES oraz [EMPTYTEMP] w sekcji :COMMANDS, które powodują restart. Można wpisać, ale będzie to ignorowane.
[RESETHOSTS] – polecenie zresetuje plik HOSTS do domyślnej postaci zawierającej tylko jeden wpis 127.0.0.1 localhost.
[CREATERESTOREPOINT] – utworzenie nowego punktu przywracania systemu po zakończeniu napraw.
[CLEARALLRESTOREPOINTS] – polecenie usunie wszystkie aktualne punkty przywracania i utworzy nowy punkt przywracania po zakończeniu napraw.
Oba polecenia przywracania systemu można użyć również w przypadku skanowania, ale wpisując je bez nawiasów kwadratowych. Działają tylko na Windows XP
Przełączniki dyrektywy :Files
- /
przełącznikiem wskazujemy aplikacji, że ma przenieść pliki utworzone w przeciągu wskazanej liczby dni
np. c:*.dll /2 – przenoszenie wszystkich plików .dll utworzonych w ciągu ostatnich 2 dni - /64
uwzględnianie 64-bitowej ścieżki
np. c:windowssystem32badfile.exe /64 - @
usuwanie alternatywnych strumieni danych. Zazwyczaj ADS usuwamy wklejając linię z loga do dyrektywy :OTL. Ale można również usuwać dyrektywą :files.
np. @c:windowssystem32:somedatastream - /alldrives
przełącznik umożliwia usuwanie elementów ze wszystkich napędów.
np. plik.dll /alldrives (można wpisać nazwę foldera)
folderplik.dll /alldrives
plik.dll /s /alldrives (uwzględnianie wszystkich sub folderów) - /E
wyodrębnienie pliku z archiwum .cab. Pliki ekstraktowane są do katalogu głównego dysku systemowego.
np. C:WINDOWSDriver Cachei386sp3.cab:atapi.sys /E - /lsp
usuwanie plików ze stosu LSP. Plik zostanie usunięty a stos przebudowany.
np. helper32.dll /lsp - /replace
replikowanie plików. Czasem do pełnego wykonanie konieczny będzie restart systemu.
np. C:WINDOWSSystem32driversatapi.sys|c:atapi.sys /replace - przełączniki /c, /s oraz /u stosowane jak przy skanowaniu
- usuwając pliki możemy stosować symbole wieloznaczności
np. C:UsersNadiaAppDataLocalTemp*.html
Elementy do usunięcia wklejamy w pole Własne opcje skanowania / skrypt i wybieramy button Wykonaj skrypt. Możemy również przygotować skrypt usuwający w pliku tekstowym. Aby go wykonać w oknie OTL klikamy Wykonaj skrypt (sekcja Własne opcje skanowanie / skrypt jest pusta, nic nie wklejamy). Na pytanie o wprowadzenie pliku skryptu wskazujemy go. Użycie skryptu w pliku tekstowym jest pomocne podczas korzystania z OTL na nie startującym Windows uruchamianym z płyty OTLPE.
Tutaj jeszcze raz przestrzegam wszystkich przed samodzielnym usuwaniem elementów. Jeżeli nie posiadasz odpowiedniej wiedzy lub nie jesteś całkowicie pewnym czy element jest szkodliwy, poproś o pomoc na forum ze specjalistami od usuwania. Nierozważne korzystanie z aplikacji doprowadzi do uszkodzenia systemu lub nawet całkowitego padu.
Zeskanowałam za pomocą OTL, wyskoczyły mi dwa pliki w notatniku OTL.Txt oraz Extras.Txt i nie wiem co teraz robić.
Domyślam się, że wykonałaś skanowanie z powodu podejrzenia, że w Twoim systemie są wirusy. Skoro nie potrafisz sama usunąć szkodników, zarejestruj się na forum https://www.fixitpc.pl/ i napisz w Dziale pomocy doraźnej, dodając te dwa pliki jako załączniki do posta. Tam otrzymasz profesjonalną pomoc w usuwaniu malware.
Kawał dobrej roboty, chyba jako jedyny opisujesz to w ojczystym jezyku. Dzieki!
Brakuje tylko O38, przydalby sie tez opis co robic z ZA, tak jak to jest opisane w angielskim manualu.